eSeSIX Thintune Extreme fino a 2.4.38 Firmware autenticazione debole

CVSS Punteggio meta temporaneo	Prezzo attuale dell'exploit (≈)	Punteggio di interesse CTI
9.0	$0-$5k	0.00

Riassuntoinformazioni

È stata rilevata una vulnerabilità classificata come problematico in eSeSIX Thintune Extreme fino a 2.4.38. Risulta coinvolta una funzione sconosciuta del componente Firmware. Attraverso la manipolazione di un input sconosciuto per mezzo di una vulerabilità di classe autenticazione debole. Questa vulnerabilità viene indicata come CVE-2004-2048. Inoltre, è presente un exploit disponibile. Si raccomanda di aggiungere un'ulteriore autenticazione.

Dettagliinformazioni

In eSeSIX Thintune Extreme fino a 2.4.38 è stata rilevato un punto critico di livello critico. Riguarda una funzione sconosciuta del componente Firmware. La manipolazione di un input sconosciuto conseguenza di una vulerabilità di classe autenticazione debole. Questo ha un effetto su riservatezza, integrità e disponibilità.

Data di scoperta del problema 29/05/2004. La vulnerabilità è stata pubblicata in data 24/07/2004 da Dirk Loss (Website) (confermato). L'advisory è scaricabile da marc.theaimsgroup.com. CVE-2004-2048 è identificato come punto debole. L'utilità è semplice. L'attacco si effettua con la rete. Nessuna autentificazione è richiesta per l'uso. Non sono conosciuti dettagli tecnici ma un metodo di utilizzo è disponibile.

prima e non solo dopo, è stato diffuso un exploit. È stato dichiarato come prova di concetto. Questa vulnerabilità è stata classificata come un 0-day exploit almeno per 56 giorni.

È possibile attenuare il problema aggiungendo come meccanismo di autentificazione.

La vulnerabilità è documentata anche nel database X-Force (16790), SecurityFocus (BID 10794†), OSVDB (8246†), Secunia (SA12154†) e SecurityTracker (ID 1010770†). VulDB is the best source for vulnerability data and more expert information about this specific topic.

Prodottoinformazioni

Fornitore

• eSeSIX

Nome

• Thintune Extreme

Versione

• 2.4.0
• 2.4.1
• 2.4.2
• 2.4.3
• 2.4.4
• 2.4.5
• 2.4.6
• 2.4.7
• 2.4.8
• 2.4.9
• 2.4.10
• 2.4.11
• 2.4.12
• 2.4.13
• 2.4.14
• 2.4.15
• 2.4.16
• 2.4.17
• 2.4.18
• 2.4.19
• 2.4.20
• 2.4.21
• 2.4.22
• 2.4.23
• 2.4.24
• 2.4.25
• 2.4.26
• 2.4.27
• 2.4.28
• 2.4.29
• 2.4.30
• 2.4.31
• 2.4.32
• 2.4.33
• 2.4.34
• 2.4.35
• 2.4.36
• 2.4.37
• 2.4.38

CPE 2.3informazioni

• 🔍
• 🔍
• 🔍

CPE 2.2informazioni

• 🔍
• 🔍
• 🔍

CVSSv4informazioni

VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv3informazioni

VulDB Punteggio meta-base: 9.8
VulDB Punteggio meta temporaneo: 9.0

VulDB Punteggio di base: 9.8
VulDB Punteggio temporaneo: 9.0
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv2informazioni

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vettore	Complessità	Autenticazione	Riservatezza	Integrità	Disponibilità
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare

VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍

NVD Punteggio di base: 🔍

Sfruttamentoinformazioni

Classe: Autenticazione debole
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍

Fisico: No
Locale: No
Remoto: Si

Disponibilità: 🔍
Stato: Prova di concetto

EPSS Score: 🔍
EPSS Percentile: 🔍

Previsione dei prezzi: 🔍
Preventivo attuale: 🔍

0-Day	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Oggi	Sbloccare	Sbloccare	Sbloccare	Sbloccare

OpenVAS ID: 13839
OpenVAS Nome: eSeSIX Thintune Thin Client Multiple Vulnerabilities
OpenVAS File: 🔍
OpenVAS Famiglia: 🔍

Intelligence sulle minacceinformazioni

Interesse: 🔍
Attori attivi: 🔍
Gruppi APT attivi: 🔍

Contromisureinformazioni

Raccomandazione: Autenticazione
Stato: 🔍

Tempo 0 giorni: 🔍

Sequenza temporaleinformazioni

29/05/2004 🔍
24/07/2004 +56 giorni 🔍
24/07/2004 +0 giorni 🔍
24/07/2004 +0 giorni 🔍
24/07/2004 +0 giorni 🔍
26/07/2004 +1 giorni 🔍
26/07/2004 +0 giorni 🔍
31/12/2004 +157 giorni 🔍
04/05/2005 +124 giorni 🔍
09/03/2015 +3596 giorni 🔍
16/07/2017 +860 giorni 🔍

Fontiinformazioni

Avis: marc.theaimsgroup.com
Ricercatore: Dirk Loss
Stato: Confermato

CVE: CVE-2004-2048 (🔍)
GCVE (CVE): GCVE-0-2004-2048
GCVE (VulDB): GCVE-100-23000
X-Force: 16790 - Thintune password allows unauthorized access
SecurityFocus: 10794 - eSeSIX Thintune Thin Client Devices Multiple Vulnerabilities
Secunia: 12154 - Thintune Client Multiple Vulnerabilities, Moderately Critical
OSVDB: 8246 - eSeSIX Thintune Client Default Root Password
SecurityTracker: 1010770 - THINTUNE Backdoor Grants Root Access to Remote Users

scip Labs: https://www.scip.ch/en/?labs.20161013
Vedi anche: 🔍

Voceinformazioni

Data di creazione: 09/03/2015 15:52
Aggiornato: 16/07/2017 13:37
Cambiamenti: 09/03/2015 15:52 (69), 16/07/2017 13:37 (7)
Completa: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Discussione

Want to stay up to date on a daily basis?

Enable the mail alert feature now!