| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 6.6 | $0-$5k | 0.00 |
Riassunto
In MyBB 1.1.2 è stata rilevato un punto critico di livello critico. Si considera coinvolta una funzione sconosciuta. Attraverso l'influenza di un input sconosciuto per mezzo di una vulerabilità di classe Esecuzione di codice remoto. Questa vulnerabilità è identificata come CVE-2006-2908. Con la rete può partire l'attacco. Inoltre, è presente un exploit disponibile. Si raccomanda di installare una patch per correggere questa vulnerabilità.
Dettagli
Una vulnerabilità di livello critico è stata rilevata in MyBB 1.1.2 (Content Management System). É interessato la funzione preg_replace. Attraverso la manipolazione di un input sconosciuto se causa una vulnerabilità di classe esecuzione di codice remoto. Gli effetti sono noti per riservatezza, integrità e disponibilità.
La vulnerabilità è stata pubblicata in data 12/06/2006 da Andreas Sandblad da Secunia Research con un posting (Bugtraq) (confermato). L'advisory è scaricabile da securityfocus.com. Questa vulnerabilità è identificata come CVE-2006-2908. L'utilità è conosciuta come semplice. Nella rete si effettua l'attacco. L'utilizzo non richiede alcuna forma di autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti.
Un metodo di utilizzo è stato sviluppato da Javier Olascoaga in Perl ed è stata pubblicata 13 ore dopo il comunicato. L'exploit è scaricabile da 514.es. È stato dichiarato come prova di concetto.
Applicando a patch è possibile eliminare il problema.
La vulnerabilità è documentata anche nel database X-Force (27046), Exploit-DB (1909), SecurityFocus (BID 18396†), OSVDB (26216†) e Secunia (SA20371†). Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Prodotto
Genere
Nome
Versione
Licenza
Sito web
- Prodotto: https://mybb.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 7.3VulDB Punteggio meta temporaneo: 6.6
VulDB Punteggio di base: 7.3
VulDB Punteggio temporaneo: 6.6
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Sfruttamento
Classe: Esecuzione di codice remotoCWE: Sconosciuto
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Pubblico
Stato: Prova di concetto
Autore: Javier Olascoaga
Linguaggio di programmazione: 🔍
Scaricare: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Exploit-DB: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: PatchStato: 🔍
Tempo di ritardo sfruttamento: 🔍
Sequenza temporale
05/06/2006 🔍08/06/2006 🔍
12/06/2006 🔍
12/06/2006 🔍
12/06/2006 🔍
12/06/2006 🔍
12/06/2006 🔍
13/06/2006 🔍
13/06/2006 🔍
12/03/2015 🔍
30/04/2019 🔍
Fonti
Prodotto: mybb.comAvis: securityfocus.com⛔
Ricercatore: Andreas Sandblad
Organizzazione: Secunia Research
Stato: Confermato
CVE: CVE-2006-2908 (🔍)
GCVE (CVE): GCVE-0-2006-2908
GCVE (VulDB): GCVE-100-30771
X-Force: 27046 - MyBB inc/functions_post.php domecode() code execution
SecurityFocus: 18396 - MyBB DomeCode Remote PHP Script Code Injection Vulnerability
Secunia: 20371 - MyBB "domecode()" PHP Code Execution Vulnerability, Highly Critical
OSVDB: 26216 - MyBulletinBoard (MyBB) Registration username Field domecode() Function PHP Code Execution
SecurityTracker: 1016270
Vupen: ADV-2006-2288
scip Labs: https://www.scip.ch/en/?labs.20161013
Voce
Data di creazione: 12/03/2015 14:25Aggiornato: 30/04/2019 09:30
Cambiamenti: 12/03/2015 14:25 (70), 30/04/2019 09:30 (6)
Completa: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.