Trustwave ModSecurity 2.7.0/2.7.1/2.7.2 XML Parser अधिकार वृद्धि

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
4.8$0-$5k0.00

सारांशजानकारी

एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Trustwave ModSecurity 2.7.0/2.7.1/2.7.2 में खोजी गई है। प्रभावित तत्त्व है एक अपरिभाषित कार्य और XML Parser घटक से संबंधित है। यह परिवर्तन अधिकार वृद्धि का कारण बनता है। यह भेद्यता CVE-2013-1915 के रूप में जानी जाती है। इसके अलावा, एक एक्सप्लॉइट उपलब्ध है. यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।

विवरणजानकारी

एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Trustwave ModSecurity 2.7.0/2.7.1/2.7.2 में खोजी गई है। प्रभावित तत्त्व है एक अपरिभाषित कार्य और XML Parser घटक से संबंधित है। यह परिवर्तन अधिकार वृद्धि का कारण बनता है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-20 की ओर ले जाता है। यह कमजोरी प्रकाशित हुई थी 22/03/2013 द्वारा Timur Yunusov and Alexey Osipov के साथ Positive Technologies Research Team के रूप में Mailinglist Post (oss-sec). seclists.org पर यह परामर्श डाउनलोड हेतु उपलब्ध कराया गया है। विक्रेता के साथ सार्वजनिक रिलीज़ का समन्वय किया गया है।

यह भेद्यता CVE-2013-1915 के रूप में जानी जाती है। CVE असाइनमेंट 19/02/2013 पर हुआ था. कोई तकनीकी विवरण उपलब्ध नहीं है. यह भेद्यता सामान्य से कम लोकप्रिय है। इसके अलावा, एक एक्सप्लॉइट उपलब्ध है. अभी के लिए एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है।

इसे अवधारणा प्रमाण घोषित किया गया है। 0-डे के लिए अनुमानित भूमिगत कीमत लगभग $0-$5k थी. Nessus द्वारा 67127 आईडी वाला एक प्लगइन दिया गया है। इसे Firewalls फैमिली के अंतर्गत रखा गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 166401 प्लगइन से कर सकता है (OpenSuSE Security Update for apache2-mod_security2 (openSUSE-SU-2013:1342-1)).

2.7.3 संस्करण में अपग्रेड करने से यह समस्या सुलझ सकती है। बग फिक्स github.com से डाउनलोड के लिए तैयार है। यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।

कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 58810), X-Force (83170), Secunia (SA52847), Vulnerability Center (SBV-39310) , Tenable (67127).

उत्पादजानकारी

विक्रेता

नाम

संस्करण

लाइसेंस

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 5.3
VulDB मेटा अस्थायी स्कोर: 4.8

VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 4.8
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: अधिकार वृद्धि
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
प्रवेश: निजी
स्थिति: अवधारणा प्रमाण

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 67127
Nessus नाम: ModSecurity < 2.7.3 XML External Entity (XXE) Data Parsing Arbitrary File Disclosure
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍

OpenVAS ID: 892659
OpenVAS नाम: Debian Security Advisory DSA 2659-1 (libapache-mod-security - XML external entity processing vulnerability
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: ModSecurity 2.7.3
पैच: github.com

समयरेखाजानकारी

19/02/2013 🔍
22/03/2013 +31 दिन 🔍
22/03/2013 +0 दिन 🔍
28/03/2013 +6 दिन 🔍
28/03/2013 +0 दिन 🔍
02/04/2013 +5 दिन 🔍
08/04/2013 +6 दिन 🔍
23/04/2013 +15 दिन 🔍
25/04/2013 +2 दिन 🔍
02/07/2013 +68 दिन 🔍
06/05/2021 +2865 दिन 🔍

स्रोतजानकारी

सलाह: seclists.org
शोधकर्ता: Timur Yunusov, Alexey Osipov
संगठन: Positive Technologies Research Team
स्थिति: परिभाषित नहीं
पुष्टि: 🔍
समन्वित: 🔍

CVE: CVE-2013-1915 (🔍)
GCVE (CVE): GCVE-0-2013-1915
GCVE (VulDB): GCVE-100-8160

OVAL: 🔍

X-Force: 83170
SecurityFocus: 58810 - ModSecurity XML External Entity Information Disclosure Vulnerability
Secunia: 52847 - ModSecurity XML External Entity Processing Vulnerability, Moderately Critical
OSVDB: 91948
Vulnerability Center: 39310 - ModSecurity 2.7.2 Improper XML Parsing Allows Remote Information Disclosure Vulnerability via a Crafted XML File, Medium

scip Labs: https://www.scip.ch/en/?labs.20130913
यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 08/04/2013 10:33 AM
अद्यतनित: 06/05/2021 05:44 PM
परिवर्तन: 08/04/2013 10:33 AM (83), 28/04/2017 09:02 AM (4), 06/05/2021 05:44 PM (3)
पूर्ण: 🔍
संपादक: olku
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Might our Artificial Intelligence support you?

Check our Alexa App!