Apache CXF तक 2.7.2 Token उपयोगकर्ता नाम कमजोर प्रमाणीकरण

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
5.1$0-$5k0.00

सारांशजानकारी

एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Apache CXF में पाई गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक Token Handler का। यह संशोधन उपयोगकर्ता नाम आर्ग्युमेंट कमजोर प्रमाणीकरण का कारण बन सकता है। इस भेद्यता को CVE-2013-0239 आईडी के तहत ट्रैक किया जाता है। कोई एक्सप्लॉइट नहीं मिला है. प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।

विवरणजानकारी

एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Apache CXF में पाई गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक Token Handler का। यह संशोधन उपयोगकर्ता नाम आर्ग्युमेंट कमजोर प्रमाणीकरण का कारण बन सकता है। CWE का उपयोग करके समस्या को घोषित करने से CWE-287 प्राप्त होता है। कमजोरी प्रकाशित की गई थी 08/02/2013 के रूप में सलाह (वेबसाइट). सलाह cxf.apache.org पर डाउनलोड हेतु साझा की गई है। विक्रेता के साथ मिलकर सार्वजनिक रिलीज़ का समन्वय किया गया है।

इस भेद्यता को CVE-2013-0239 आईडी के तहत ट्रैक किया जाता है। 06/12/2012 को CVE असाइन किया गया था. टेक्निकल डिटेल्स उपलब्ध हैं. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई एक्सप्लॉइट नहीं मिला है. अब के लिए एक्सप्लॉइट की कीमत अनुमानतः USD $0-$5k हो सकती है।

इसे परिभाषित नहीं के रूप में घोषित किया गया है। 0-day के समय अनुमानित अंडरग्राउंड मूल्य लगभग $5k-$25k था। वल्नरेबिलिटी स्कैनर Nessus ID 65544 वाला एक प्लगइन प्रदान करता है (RHEL 5 / 6 : apache-cxf (RHSA-2013:0644)), जो लक्ष्य वातावरण में खामी की उपस्थिति का पता लगाने में मदद करता है। इसे Red Hat Local Security Checks परिवार में असाइन किया गया है।

इस समस्या का समाधान 2.5.9, 2.6.6 , 2.7.3 संस्करण में अपग्रेड करने से किया जा सकता है। बगफिक्स डाउनलोड के लिए svn.apache.org पर उपलब्ध है। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।

कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 57876), X-Force (81981), Secunia (SA51988), SecurityTracker (ID 1028286) , Vulnerability Center (SBV-38829).

उत्पादजानकारी

प्रकार

विक्रेता

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 5.3
VulDB मेटा अस्थायी स्कोर: 5.1

VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 5.1
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: कमजोर प्रमाणीकरण
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: परिभाषित नहीं

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 65544
Nessus नाम: RHEL 5 / 6 : apache-cxf (RHSA-2013:0644)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: CXF 2.5.9/2.6.6/2.7.3
पैच: svn.apache.org

समयरेखाजानकारी

06/12/2012 🔍
08/02/2013 +64 दिन 🔍
08/02/2013 +0 दिन 🔍
08/02/2013 +0 दिन 🔍
08/02/2013 +0 दिन 🔍
11/02/2013 +3 दिन 🔍
18/02/2013 +7 दिन 🔍
12/03/2013 +22 दिन 🔍
13/03/2013 +1 दिन 🔍
19/03/2013 +6 दिन 🔍
05/05/2021 +2969 दिन 🔍

स्रोतजानकारी

विक्रेता: apache.org

सलाह: cxf.apache.org
स्थिति: पुष्टि की गई
पुष्टि: 🔍
समन्वित: 🔍

CVE: CVE-2013-0239 (🔍)
GCVE (CVE): GCVE-0-2013-0239
GCVE (VulDB): GCVE-100-7687
X-Force: 81981
SecurityFocus: 57876 - Apache CXF WS-SecurityPolicy Authentication Bypass Vulnerability
Secunia: 51988 - Apache CXF SOAP URIMappingInterceptor and Plaintext UsernameTokens Security Issues, Moderately Critical
OSVDB: 90078
SecurityTracker: 1028286 - Apache CXF WS-Security UsernameToken Processing Flaw Lets Remote Users Bypass Authentication
Vulnerability Center: 38829 - Apache CXF Before 2.5.9, 2.6.6 and 2.7.3 Remote Bypass Authentication (CVE-2013-0239), Medium

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 18/02/2013 09:35 AM
अद्यतनित: 05/05/2021 08:12 AM
परिवर्तन: 18/02/2013 09:35 AM (76), 26/04/2017 09:02 AM (5), 05/05/2021 08:12 AM (3)
पूर्ण: 🔍
संपादक: olku
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Do you want to use VulDB in your project?

Use the official API to access entries easily!