VDB-55739 · CVE-2010-4388 · BID 45465

RealNetworks RealPlayer fino 11.1 ActiveX Control Upsell.htm getqsval escalazione di privilegi

CVSS Punteggio Meta TempExploit Prezzo Attuale (≈)Punteggio di interesse CTI
4.3$0-$5k0.00

In RealNetworks RealPlayer fino 11.1 (Multimedia Player Software) stata rilevata una vulnerabilità di livello problematico. É interessato la funzione getqsval del file Upsell.htm del componente ActiveX Control. Attraverso l'influenza di un input sconosciuto conseguenza di una vulerabilità di classe escalazione di privilegi. Gli effetti sono noti per la integrità.

La vulnerabilità è stata pubblicata in data 10/12/2010 da TippingPoint's Zero Day Initiative (Website) (confermato). L'advisory è scaricabile da zerodayinitiative.com. CVE-2010-4388 è identificato come punto debole. L'attacco si effettua con la rete. Nessuna autentificazione è richiesta per l'uso. Su punti deboli sono disponibli dettagli tecnici tuttavia senza metodo d'utilizzo.

Cercando inurl:Upsell.htm è possibile trovare obiettivi vulnerabili con Google Hacking. Un plugin è disponibile per lo scanner Nessus, numero ID 50612 (RealPlayer for Windows < Build 12.0.1.609 Multiple Vulnerabilities), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.

Una possibile soluzione è stata pubblicata immediatamente dopo la pubblicazione della vulnerabilità.

La vulnerabilità è documentata anche nei database Tenable (50612).

Prodottoinfo

Genere

Fornitore

Nome

Versione

Licenza

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv3info

VulDB Punteggio meta-base: 4.3
VulDB Punteggio Meta Temp: 4.3

VulDB Punteggio di base: 4.3
VulDB Punteggio temporaneo: 4.3
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VettoreComplessitàAutenticazioneRiservatezzaIntegritàDisponibilità
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare

VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍

NVD Punteggio di base: 🔍

Exploitinginfo

Classe: Escalazione di privilegi
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍

Locale: No
Remoto: Si

Disponibilità: 🔍
Stato: Non definito
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Previsione dei prezzi: 🔍
Preventivo attuale: 🔍

0-Daysbloccaresbloccaresbloccaresbloccare
Oggisbloccaresbloccaresbloccaresbloccare

Nessus ID: 50612
Nessus Nome: RealPlayer for Windows < Build 12.0.1.609 Multiple Vulnerabilities
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍

OpenVAS ID: 801671
OpenVAS Nome: RealNetworks RealPlayer Multiple Vulnerabilities (Win) - Dec10
OpenVAS File: 🔍
OpenVAS Family: 🔍

Intelligence Sulle Minacceinfo

Interesse: 🔍
Attori Attivi: 🔍
Gruppi APT attivi: 🔍

Contromisureinfo

Raccomandazione: nessuna contromisura conosciuta
Stato: 🔍

Tempo di reazione: 🔍
0 giorni di tempo: 🔍
Tempo di esposizione: 🔍
TippingPoint: 🔍

Sequenza temporaleinfo

02/12/2010 🔍
10/12/2010 +8 giorni 🔍
10/12/2010 +0 giorni 🔍
10/12/2010 +0 giorni 🔍
10/12/2010 +0 giorni 🔍
10/12/2010 +0 giorni 🔍
14/12/2010 +4 giorni 🔍
16/12/2010 +2 giorni 🔍
23/12/2010 +6 giorni 🔍
19/03/2015 +1547 giorni 🔍
07/10/2021 +2393 giorni 🔍

Fontiinfo

Fornitore: realnetworks.com

Advisory: zerodayinitiative.com
Organizzazione: TippingPoint's Zero Day Initiative
Stato: Confermato
Confermato: 🔍

CVE: CVE-2010-4388 (🔍)
SecurityTracker: 1024861 - RealPlayer Buffer Overflows and Memory Corruption Errors Let Remote Users Execute Arbitrary Code
Vulnerability Center: 28769 - Real Networks RealPlayer 11.0-11.1 Remote Code Injection into the RealOneActiveXObject Process, Medium
SecurityFocus: 45465 - Real Networks RealPlayer 'HTML' Files Cross Domain Scripting Vulnerability
Secunia: 38550
OSVDB: 69857 - RealPlayer Multiple Products Upsell.htm Component RealOneActiveXObject Process Remote Code Injection

Vedi anche: 🔍

Voceinfo

Data di creazione: 19/03/2015 23:27
Aggiornamenti: 07/10/2021 00:37
I cambiamenti: 19/03/2015 23:27 (66), 03/04/2017 18:10 (15), 07/10/2021 00:37 (4)
Completa: 🔍

Discussione

Ancora nessun commento. Le Lingue: it + en.

Effettua il login per commentare.

PrecedenteVisione D'insiemeIl prossimo

Do you want to use VulDB in your project?

Use the official API to access entries easily!