Zoho ManageEngine Netflow Analyzer fino 9.1 Chart filename directory traversal
| CVSS Punteggio Meta Temp | Exploit Prezzo Attuale (≈) | Punteggio di interesse CTI |
|---|---|---|
| 5.0 | $0-$5k | 0.00 |
Una vulnerabilità di livello problematico è stata rilevata in Zoho ManageEngine Netflow Analyzer fino 9.1. Interessato da questa vulnerabilità è una funzione sconosciuta del componente Chart. Attraverso l'influenza del parametro filename di un input sconosciuto se causa una vulnerabilità di classe directory traversal. Questo ha effetto su la riservatezza.
La vulnerabilità è stata pubblicata in data 04/12/2014 da Pedro Ribeiro (Website) (non definito). L'advisory è scaricabile da support.zoho.com. Questa vulnerabilità è identificata come CVE-2014-5446. È facile da utilizzare. Dalla rete può partire l'attacco. L'utilizzo non richiede alcuna forma di autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti.
Un metodo di utilizzo è stato sviluppato in Ruby. L'exploit è scaricabile da securityfocus.com. È stato dichiarato come proof-of-concept. È disponibile un plugin per lo scanner Nessus, numero ID 81821 (ManageEngine NetFlow Analyzer Multiple Path Traversal and File Access), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
Informazioni riguardo una possibile contromisura non sono al momento disponibili. Si suggerisce di sostituire il prodotto con uno equivalente.
La vulnerabilità è documentata anche nel database X-Force (99046) e Tenable (81821).
Prodotto
Fornitore
Nome
Versione
Licenza
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 5.3VulDB Punteggio Meta Temp: 5.0
VulDB Punteggio di base: 5.3
VulDB Punteggio temporaneo: 5.0
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Exploiting
Classe: Directory traversalCWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Pubblico
Stato: Proof-of-Concept
Linguaggio Di Programmazione: 🔍
Scaricamento: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | sbloccare | sbloccare | sbloccare | sbloccare |
|---|---|---|---|---|
| Oggi | sbloccare | sbloccare | sbloccare | sbloccare |
Nessus ID: 81821
Nessus Nome: ManageEngine NetFlow Analyzer Multiple Path Traversal and File Access
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍
Intelligence Sulle Minacce
Interesse: 🔍Attori Attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: nessuna contromisura conosciutaStato: 🔍
0 giorni di tempo: 🔍
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Versione: 🔍
ISS Proventia IPS: 🔍
Fortigate IPS: 🔍
Sequenza temporale
25/08/2014 🔍29/11/2014 🔍
01/12/2014 🔍
04/12/2014 🔍
04/12/2014 🔍
27/03/2015 🔍
07/07/2015 🔍
07/04/2022 🔍
Fonti
Fornitore: manageengine.comAdvisory: 129336
Riceratore: Pedro Ribeiro
Stato: Non definito
Confermato: 🔍
CVE: CVE-2014-5446 (🔍)
X-Force: 99046
Vulnerability Center: 51021 - ManageEngine Netflow Analyzer and IT360 Remote File System Read via Full Pathname in Filename Parameter, Medium
SecurityFocus: 71404 - Multiple ManageEngine Products Multiple Arbitrary File Download Vulnerabilities
scip Labs: https://www.scip.ch/en/?labs.20161013
Vedi anche: 🔍
Voce
Data di creazione: 27/03/2015 14:56Aggiornamenti: 07/04/2022 08:51
I cambiamenti: 27/03/2015 14:56 (58), 21/09/2018 17:30 (16), 07/04/2022 08:47 (2), 07/04/2022 08:51 (1)
Completa: 🔍
Ancora nessun commento. Le Lingue: it + en.
Effettua il login per commentare.