VDB-27095 · CVE-2005-3822 · BID 15569

vTiger CRM 4.2 Login Form record sql injection

CVSS Punteggio Meta TempExploit Prezzo Attuale (≈)Punteggio di interesse CTI
6.6$0-$5k0.00

In vTiger CRM 4.2 (Customer Relationship Management System) è stata rilevato un punto critico di livello critico. É interessato una funzione sconosciuta del componente Login Form. La manipolazione del parametro record di un input sconosciuto conseguenza di una vulerabilità di classe sql injection. Questo si osserva su riservatezza, integrità e disponibilità.

Data di scoperta del problema 16/09/2005. La vulnerabilità è stata pubblicata in data 25/11/2005 da Daniel Fabian da SEC-CONSULT (Website) (non definito). L'advisory è scaricabile da vupen.com. CVE-2005-3822 è identificato come punto debole. L'utilità è semplice. L'attacco si effettua con la rete. Nessuna autentificazione è richiesta per l'uso. Su punti deboli sono disponibli dettagli tecnici tuttavia senza metodo d'utilizzo.

È stato dichiarato come proof-of-concept. Per almeno 70 giorni, questa vulnerabilità è stata classificata come 0-day exploit. Un plugin è disponibile per lo scanner Nessus, numero ID 20317 (vTiger < 4.5a2 Multiple Vulnerabilities), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.

L'aggiornamento elimina questa vulnerabilità.

La vulnerabilità è documentata anche nei database Tenable (20317).

Prodottoinfo

Genere

Fornitore

Nome

Versione

Licenza

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv3info

VulDB Punteggio meta-base: 7.3
VulDB Punteggio Meta Temp: 6.6

VulDB Punteggio di base: 7.3
VulDB Punteggio temporaneo: 6.6
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VettoreComplessitàAutenticazioneRiservatezzaIntegritàDisponibilità
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare

VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍

NVD Punteggio di base: 🔍

Exploitinginfo

Classe: Sql injection
CWE: CWE-89 / CWE-74 / CWE-707
ATT&CK: T1505

Locale: No
Remoto: Si

Disponibilità: 🔍
Stato: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Previsione dei prezzi: 🔍
Preventivo attuale: 🔍

0-Daysbloccaresbloccaresbloccaresbloccare
Oggisbloccaresbloccaresbloccaresbloccare

Nessus ID: 20317
Nessus Nome: vTiger < 4.5a2 Multiple Vulnerabilities
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 20317
OpenVAS Nome: string(dir, /index.php
OpenVAS File: 🔍
OpenVAS Family: 🔍

Intelligence Sulle Minacceinfo

Interesse: 🔍
Attori Attivi: 🔍
Gruppi APT attivi: 🔍

Contromisureinfo

Raccomandazione: Upgrade
Stato: 🔍

0 giorni di tempo: 🔍

Sequenza temporaleinfo

16/09/2005 🔍
24/11/2005 +69 giorni 🔍
25/11/2005 +1 giorni 🔍
25/11/2005 +0 giorni 🔍
25/11/2005 +0 giorni 🔍
26/11/2005 +1 giorni 🔍
26/11/2005 +0 giorni 🔍
16/12/2005 +20 giorni 🔍
19/12/2005 +3 giorni 🔍
11/03/2015 +3369 giorni 🔍
12/06/2019 +1554 giorni 🔍

Fontiinfo

Fornitore: vtiger.com

Advisory: vupen.com
Riceratore: Daniel Fabian
Organizzazione: SEC-CONSULT
Stato: Non definito

CVE: CVE-2005-3822 (🔍)
SecurityTracker: 1015274
Vulnerability Center: 10040 - vTiger CRM up to 4.2 SQL Injection via username \x26 Record Parameter, Medium
SecurityFocus: 15569 - VTiger CRM Multiple Input Validation Vulnerabilities
Secunia: 17693 - vtiger CRM Multiple Vulnerabilities, Highly Critical
OSVDB: 21226 - vtiger CRM Login username Field SQL Injection
Vupen: ADV-2005-2569

Vedi anche: 🔍

Voceinfo

Data di creazione: 11/03/2015 23:39
Aggiornamenti: 12/06/2019 18:34
I cambiamenti: 11/03/2015 23:39 (80), 12/06/2019 18:34 (4)
Completa: 🔍

Discussione

Ancora nessun commento. Le Lingue: it + en.

Effettua il login per commentare.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!