WSO2 Carbon 4.4.5 proxy_ajaxprocessor.jsp क्रॉस साइट रिक्वेस्ट फॉर्जरी
| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 4.9 | $0-$5k | 0.00 |
सारांश
एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, WSO2 Carbon 4.4.5 में पाई गई है। प्रभावित तत्त्व है एक अपरिभाषित कार्य server-admin/proxy_ajaxprocessor.jsp फ़ाइल में मौजूद है। यह संशोधन क्रॉस साइट रिक्वेस्ट फॉर्जरी का कारण बन सकता है। इस भेद्यता को CVE-2016-4315 के रूप में ट्रेड किया जाता है। हमला दूरस्थ रूप से शुरू किया जा सकता है। इसके अलावा, एक एक्सप्लॉइट उपलब्ध है.
विवरण
एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, WSO2 Carbon 4.4.5 में पाई गई है। प्रभावित तत्त्व है एक अपरिभाषित कार्य server-admin/proxy_ajaxprocessor.jsp फ़ाइल में मौजूद है। यह संशोधन क्रॉस साइट रिक्वेस्ट फॉर्जरी का कारण बन सकता है। CWE के माध्यम से समस्या घोषित करने पर CWE-352 मिलता है। बग की खोज 13/08/2016 को हुई थी। इस कमजोरी को प्रकाशित किया गया था 17/02/2017 द्वारा John Page (hyp3rlinx) के रूप में Posting (Bugtraq). सलाह securityfocus.com पर डाउनलोड हेतु साझा की गई है।
इस भेद्यता को CVE-2016-4315 के रूप में ट्रेड किया जाता है। CVE असाइनमेंट 27/04/2016 पर हुआ था. हमला दूरस्थ रूप से शुरू किया जा सकता है। तकनीकी विवरण उपलब्ध हैं. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। इसके अलावा, एक एक्सप्लॉइट उपलब्ध है. इस एक्सप्लॉइट की जानकारी सार्वजनिक कर दी गई है और इसका इस्तेमाल किया जा सकता है। फिलहाल एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है।
यह अवधारणा प्रमाण के रूप में घोषित है। डाउनलोड हेतु यह एक्सप्लॉइट exploit-db.com पर उपलब्ध है। कम से कम 187 दिनों तक इस भेद्यता को सार्वजनिक न किए गए ज़ीरो-डे एक्सप्लॉइट के रूप में संभाला गया। 0-डे के रूप में इसका अनुमानित अंडरग्राउंड मूल्य लगभग $0-$5k था.
यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: SecurityFocus (BID 92473).
उत्पाद
विक्रेता
नाम
संस्करण
लाइसेंस
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 5.0VulDB मेटा अस्थायी स्कोर: 4.9
VulDB मूल स्कोर: 4.3
VulDB अस्थायी स्कोर: 4.1
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 5.7
NVD वेक्टर: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: क्रॉस साइट रिक्वेस्ट फॉर्जरीCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
प्रवेश: सार्वजनिक
स्थिति: अवधारणा प्रमाण
लेखक: hyp3rlinx
डाउनलोड: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Exploit-DB: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: कोई शमन ज्ञात नहींस्थिति: 🔍
0-दिवसीय समय: 🔍
समयरेखा
27/04/2016 🔍13/08/2016 🔍
13/08/2016 🔍
16/08/2016 🔍
16/08/2016 🔍
16/02/2017 🔍
17/02/2017 🔍
17/02/2017 🔍
05/09/2024 🔍
स्रोत
सलाह: securityfocus.com⛔शोधकर्ता: John Page (hyp3rlinx)
स्थिति: पुष्टि की गई
पुष्टि: 🔍
CVE: CVE-2016-4315 (🔍)
GCVE (CVE): GCVE-0-2016-4315
GCVE (VulDB): GCVE-100-97045
SecurityFocus: 92473 - WSO2 Carbon Multiple Security Vulnerabilities
OSVDB: - CVE-2016-4315 - WSO2 - Carbon - Cross-Site Request Forgery Issue
scip Labs: https://www.scip.ch/en/?labs.20161013
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 17/02/2017 11:41 AMअद्यतनित: 05/09/2024 08:38 AM
परिवर्तन: 17/02/2017 11:41 AM (72), 15/08/2020 11:51 AM (2), 05/09/2024 08:38 AM (16)
पूर्ण: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें