Shoppingtree Candypress Store 4.1 helpfield sql injection

CVSS Punteggio Meta TempExploit Prezzo Attuale (≈)Punteggio di interesse CTI
6.6$0-$5k0.00

Un punto critico di livello critico è stato rilevato in Shoppingtree Candypress Store 4.1. Riguarda una funzione sconosciuta. Per causa della manipolazione del parametro helpfield di un input sconosciuto per mezzo di una vulerabilità di classe sql injection. Questo ha un effetto su riservatezza, integrità e disponibilità.

Data di scoperta del problema 25/01/2008. La vulnerabilità è stata pubblicata in data 12/02/2008 (Website) (non definito). L'advisory è scaricabile da vupen.com. Questo punto di criticità è identificato come CVE-2008-0737. È facile da utilizzare. Dalla rete può partire l'attacco. Per l'uso non è richiesta un'autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti.

È stato dichiarato come proof-of-concept. L'exploit è scaricabile da securityfocus.com. Questa vulnerabilità è stata classificata come un 0-day exploit almeno per 3 giorni. Per lo scanned Nessus, è disponibile un plugin, numero ID 30107 (CandyPress Store admin/utilities_ConfigHelp.asp helpfield Parameter SQL Injection), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.

L'aggiornamento elimina questa vulnerabilità.

La vulnerabilità è documentata anche nel database X-Force (40537), Vulnerability Center (SBV-17741), Tenable (30107) e Exploit-DB (4988).

Prodottoinfo

Fornitore

Nome

CPE 2.3info

CPE 2.2info

CVSSv3info

VulDB Punteggio meta-base: 7.3
VulDB Punteggio Meta Temp: 6.6

VulDB Punteggio di base: 7.3
VulDB Punteggio temporaneo: 6.6
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VettoreComplessitàAutenticazioneRiservatezzaIntegritàDisponibilità
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare

VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍

NVD Punteggio di base: 🔍

Exploitinginfo

Classe: Sql injection
CWE: CWE-89
ATT&CK: T1505

Locale: No
Remoto: Si

Disponibilità: 🔍
Accesso: Pubblico
Stato: Proof-of-Concept
Scaricamento: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Previsione dei prezzi: 🔍
Preventivo attuale: 🔍

0-Daysbloccaresbloccaresbloccaresbloccare
Oggisbloccaresbloccaresbloccaresbloccare

Nessus ID: 30107
Nessus Nome: CandyPress Store admin/utilities_ConfigHelp.asp helpfield Parameter SQL Injection
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

Exploit-DB: 🔍

Intelligence Sulle Minacceinfo

Interesse: 🔍
Attori Attivi: 🔍
Gruppi APT attivi: 🔍

Contromisureinfo

Raccomandazione: Upgrade
Stato: 🔍

0 giorni di tempo: 🔍

Upgrade: vupen.com

Sequenza temporaleinfo

25/01/2008 🔍
25/01/2008 +0 giorni 🔍
28/01/2008 +3 giorni 🔍
12/02/2008 +15 giorni 🔍
12/02/2008 +0 giorni 🔍
12/02/2008 +0 giorni 🔍
12/02/2008 +0 giorni 🔍
26/02/2008 +14 giorni 🔍
16/03/2015 +2575 giorni 🔍
06/08/2019 +1604 giorni 🔍

Fontiinfo

Advisory: vupen.com
Stato: Non definito
Confermato: 🔍

CVE: CVE-2008-0737 (🔍)
X-Force: 40537
Vulnerability Center: 17741 - CandyPress Vulnerability Allows Remote Attackers to Inject Arbitrary SQL Commands, High
SecurityFocus: 27454 - CandyPress Multiple Input Validation Vulnerabilities
Secunia: 28662
OSVDB: 40701 - CandyPress Store utilities_ConfigHelp.asp SQL injection
Vupen: ADV-2008-0314

scip Labs: https://www.scip.ch/en/?labs.20161013
Vedi anche: 🔍

Voceinfo

Data di creazione: 16/03/2015 13:43
Aggiornamenti: 06/08/2019 07:00
I cambiamenti: (9) vulnerability_discoverydate advisory_confirm_url countermeasure_name source_cve_assigned source_osvdb source_osvdb_title source_secunia source_vupen source_exploitdb
Completa: 🔍

Commenti

Ancora nessun commento. Le Lingue: it + en.

Effettua il login per commentare.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!