Itech Auction Script 6.49 /mcategory.php mcid Blind SQL इंजेक्शन
सारांश
एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Itech Auction Script 6.49 में पाई गई है। प्रभावित है एक अज्ञात फ़ंक्शन फ़ाइल /mcategory.php की। इसमें तर्क mcid की हेरफेर इनपुट 4' AND 1734=1734 AND 'Ggks'='Ggks के साथ शामिल है, जिससे SQL इंजेक्शन (Blind) उत्पन्न होती है।
इस भेद्यता को CVE-2017-20138 के रूप में ट्रेड किया जाता है। यह हमला दूर से किया जा सकता है। कोई शोषण मौजूद नहीं है.
विवरण
एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Itech Auction Script 6.49 में पाई गई है। प्रभावित है एक अज्ञात फ़ंक्शन फ़ाइल /mcategory.php की। इसमें तर्क mcid की हेरफेर इनपुट 4' AND 1734=1734 AND 'Ggks'='Ggks के साथ शामिल है, जिससे SQL इंजेक्शन (Blind) उत्पन्न होती है। CWE के माध्यम से समस्या घोषित करने पर CWE-89 मिलता है। इस कमजोरी को प्रकाशित किया गया था 30/01/2017 के रूप में ID 96261 के रूप में प्रविष्टि (VulDB). एडवाइजरी को vuldb.com पर डाउनलोड के लिए उपलब्ध कराया गया है।
इस भेद्यता को CVE-2017-20138 के रूप में ट्रेड किया जाता है। यह हमला दूर से किया जा सकता है। तकनीकी जानकारी उपलब्ध है. यह भेद्यता सामान्य से कम लोकप्रिय है। कोई शोषण मौजूद नहीं है. फिलहाल एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है। यदि T1505 उपलब्ध है, तो MITRE ATT&CK प्रोजेक्ट द्वारा हमले की तकनीक को T1505 के रूप में घोषित किया जाता है।
यह परिभाषित नहीं के रूप में घोषित है। 0-डे के रूप में इसका अनुमानित अंडरग्राउंड मूल्य लगभग $0-$5k था.
उत्पाद
प्रकार
विक्रेता
नाम
संस्करण
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 7.5VulDB मेटा अस्थायी स्कोर: 7.3
VulDB मूल स्कोर: 6.3
VulDB अस्थायी स्कोर: 5.8
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 9.8
NVD वेक्टर: 🔍
CNA मूल स्कोर: 6.3
CNA वेक्टर (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
नाम: Blindवर्ग: SQL इंजेक्शन / Blind
CWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: परिभाषित नहीं
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: कोई शमन ज्ञात नहींस्थिति: 🔍
0-दिवसीय समय: 🔍
समयरेखा
30/01/2017 🔍30/01/2017 🔍
28/06/2022 🔍
11/11/2022 🔍
स्रोत
सलाह: ID 96261स्थिति: परिभाषित नहीं
CVE: CVE-2017-20138 (🔍)
GCVE (CVE): GCVE-0-2017-20138
GCVE (VulDB): GCVE-100-96261
प्रविष्टि
बनाया गया: 30/01/2017 03:53 PMअद्यतनित: 11/11/2022 08:02 AM
परिवर्तन: 30/01/2017 03:53 PM (40), 07/08/2020 02:38 PM (2), 28/06/2022 12:45 PM (3), 11/11/2022 07:51 AM (2), 11/11/2022 07:57 AM (28), 11/11/2022 08:02 AM (1)
पूर्ण: 🔍
प्रेषक: KAAN KAMIS
Cache ID: 216::103
जमा करें
स्वीकृत
- जमा करें #7: ech Auction Script v6.49 – SQL Injection (द्वारा KAAN KAMIS)
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें