VDB-100731 · CVE-2017-8114 · BID 98445

RoundCube Webmail fino 1.0.10/1.1.8/1.2.4 Password Plugin escalazione di privilegi

VocemodificareHistoryDiffjsonxmlCTI
CVSS Meta Temp ScoreExploit Prezzo Attuale (≈)CTI Interest Score
6.6$0-$5k0.00

Una vulnerabilità di livello critico è stata rilevata in RoundCube Webmail fino 1.0.10/1.1.8/1.2.4 (Mail Client Software). É interessato una funzione sconosciuta del componente Password Plugin. Attraverso la manipolazione di un input sconosciuto se causa una vulnerabilità di classe escalazione di privilegi. Gli effetti sono noti per riservatezza, integrità e disponibilità.

Data di scoperta del problema 24/04/2017. La vulnerabilità è stata pubblicata in data 29/04/2017 (GitHub Repository) (non definito). L'advisory è scaricabile da github.com. Questa vulnerabilità è identificata come CVE-2017-8114. L'attacco può essere lanciato dalla rete. Per l'uso basta una semplice autentificazione. Dettagli tecnici sul punto critico come anche metodo d'utilizzo non sono a disposizione.

Per almeno 5 giorni, questa vulnerabilità è stata classificata come 0-day exploit. È disponibile un plugin per lo scanner Nessus, numero ID 99999 (Debian DLA-933-1 : roundcube security update), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.

L'aggiornamento alla versione 1.0.11, 1.1.9 o 1.2.5 elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata 2 settimane dopo la pubblicazione della vulnerabilità.

La vulnerabilità è documentata anche nei database Tenable (99999).

Prodottoinfomodificare

Genere

Fornitore

Name

CPE 2.3infomodificare

CPE 2.2infomodificare

CVSSv3infomodificare

VulDB Meta Base Score: 7.5
VulDB Meta Temp Score: 7.2

VulDB Base Score: 6.3
VulDB Temp Score: 5.6
VulDB Vector: 🔍
VulDB Affidabilità: 🔍

NVD Base Score: 8.8
NVD Vector: 🔍

CVSSv2infomodificare

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplessitàAutenticazioneConfidentialityIntegrityDisponibilità
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Affidabilità: 🔍

NVD Base Score: 🔍

Exploitinginfomodificare

Name: Password
Classe: Escalazione di privilegi / Password
CWE: CWE-264
ATT&CK: T1068

Locale: No
Remoto: Si

Disponibilità: 🔍
Status: Non definito
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍

0-Dayunlockunlockunlockunlock
Oggiunlockunlockunlockunlock

Nessus ID: 99999
Nessus Name: Debian DLA-933-1 : roundcube security update
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 867773
OpenVAS Name: Fedora Update for roundcubemail FEDORA-2017-ede53aa845
OpenVAS File: 🔍
OpenVAS Family: 🔍

Intelligence Sulle Minacceinfomodificare

Interesse: 🔍
Active Actors: 🔍
Active APT Groups: 🔍

Contromisureinfomodificare

Raccomandazione: Upgrade
Status: 🔍

Reaction Time: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: Webmail 1.0.11/1.1.9/1.2.5

Sequenza temporaleinfomodificare

24/04/2017 🔍
25/04/2017 +1 giorni 🔍
29/04/2017 +4 giorni 🔍
29/04/2017 +0 giorni 🔍
29/04/2017 +0 giorni 🔍
30/04/2017 +1 giorni 🔍
07/05/2017 +7 giorni 🔍
08/05/2017 +1 giorni 🔍
24/11/2019 +930 giorni 🔍

Fontiinfomodificare

Advisory: github.com
Status: Non definito

CVE: CVE-2017-8114 (🔍)
SecurityFocus: 98445 - RoundCube Webmail CVE-2017-8114 Multiple Privilege Escalation Vulnerabilities

Voceinfomodificare

Data di creazione: 30/04/2017 10:27
Aggiornamenti: 24/11/2019 17:48
I cambiamenti: (4) vulnerability_discoverydate countermeasure_date source_securityfocus_date source_securityfocus_class
Completa: 🔍

Commenti

Ancora nessun commento. Le Lingue: . Effettua il login per commentare.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!