Mozilla Bugzilla fino a 2.19.0 quips.cgi action escalationi di privilegi

CVSS Punteggio meta temporaneo	Prezzo attuale dell'exploit (≈)	Punteggio di interesse CTI
4.1	$0-$5k	0.00

Riassuntoinformazioni

È stata rilevata una vulnerabilità classificata come critico in Mozilla Bugzilla fino a 2.19.0. Risulta coinvolta una funzione sconosciuta del file quips.cgi. La manipolazione dell’argomento action porta a escalationi di privilegi. Questa vulnerabilità è identificata come CVE-2008-6098. Nessun exploit disponibile. Si suggerisce di aggiornare il componente vulnerabile.

Dettagliinformazioni

In Mozilla Bugzilla fino a 2.19.0 (Bug Tracking Software) stata rilevata una vulnerabilità di livello critico. Riguarda una funzione sconosciuta del file quips.cgi. Per causa della manipolazione del parametro action di un input sconosciuto conseguenza di una vulerabilità di classe escalationi di privilegi. Con gli effetti bisogna tener conto di la disponibilità.

Data di scoperta del problema 06/11/2008. La vulnerabilità è stata pubblicata in data 09/02/2009 da Alex (Website) (non definito). L'advisory è scaricabile da redhat.com. CVE-2008-6098 è identificato come punto debole. L'utilità è conosciuta come semplice. Nella rete si effettua l'attacco. L'utilizzo necessita di una valida autentificazione. Su punti deboli sono disponibli dettagli tecnici tuttavia senza metodo d'utilizzo.

Questa vulnerabilità è stata classificata come un 0-day exploit almeno per 95 giorni. Un plugin è disponibile per lo scanner Nessus, numero ID 38079 (Fedora 10 : bugzilla-3.2.2-2.fc10 (2009-2417)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.

L'aggiornamento alla versione 2.19.1 elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata 4 settimane dopo la pubblicazione della vulnerabilità.

La vulnerabilità è documentata anche nel database X-Force (46424), Tenable (38079), SecurityFocus (BID 32178†), OSVDB (49731†) e Secunia (SA32501†). Once again VulDB remains the best source for vulnerability data.

Prodottoinformazioni

Genere

• Bug Tracking Software

Fornitore

• Mozilla

Nome

• Bugzilla

Versione

• 2.0
• 2.1
• 2.2
• 2.3
• 2.4
• 2.5
• 2.6
• 2.7
• 2.8
• 2.9
• 2.10
• 2.11
• 2.12
• 2.13
• 2.14
• 2.15
• 2.16
• 2.17
• 2.18
• 2.19.0

Licenza

• open source

Sito web

• Fornitore: https://www.mozilla.org/

CPE 2.3informazioni

• 🔍
• 🔍
• 🔍

CPE 2.2informazioni

• 🔍
• 🔍
• 🔍

CVSSv4informazioni

VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv3informazioni

VulDB Punteggio meta-base: 4.3
VulDB Punteggio meta temporaneo: 4.1

VulDB Punteggio di base: 4.3
VulDB Punteggio temporaneo: 4.1
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv2informazioni

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vettore	Complessità	Autenticazione	Riservatezza	Integrità	Disponibilità
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare

VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍

NVD Punteggio di base: 🔍

Sfruttamentoinformazioni

Classe: Escalationi di privilegi
CWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍

Fisico: No
Locale: No
Remoto: Si

Disponibilità: 🔍
Stato: Non definito

EPSS Score: 🔍
EPSS Percentile: 🔍

Previsione dei prezzi: 🔍
Preventivo attuale: 🔍

0-Day	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Oggi	Sbloccare	Sbloccare	Sbloccare	Sbloccare

Nessus ID: 38079
Nessus Nome: Fedora 10 : bugzilla-3.2.2-2.fc10 (2009-2417)
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Famiglia: 🔍
Nessus Context: 🔍

OpenVAS ID: 63602
OpenVAS Nome: Fedora Core 10 FEDORA-2009-2417 (bugzilla)
OpenVAS File: 🔍
OpenVAS Famiglia: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Intelligence sulle minacceinformazioni

Interesse: 🔍
Attori attivi: 🔍
Gruppi APT attivi: 🔍

Contromisureinformazioni

Raccomandazione: Aggiornamento
Stato: 🔍

Tempo di reazione: 🔍
Tempo 0 giorni: 🔍
Tempo di esposizione: 🔍

Aggiornamento: Bugzilla 2.19.1

Sequenza temporaleinformazioni

06/11/2008 🔍
06/11/2008 +0 giorni 🔍
07/11/2008 +1 giorni 🔍
03/12/2008 +26 giorni 🔍
08/12/2008 +5 giorni 🔍
09/02/2009 +63 giorni 🔍
09/02/2009 +0 giorni 🔍
09/02/2009 +0 giorni 🔍
05/03/2009 +24 giorni 🔍
23/04/2009 +49 giorni 🔍
17/03/2015 +2154 giorni 🔍
21/08/2019 +1618 giorni 🔍

Fontiinformazioni

Fornitore: mozilla.org

Avis: redhat.com
Ricercatore: Alex
Stato: Non definito
Conferma: 🔍

CVE: CVE-2008-6098 (🔍)
GCVE (CVE): GCVE-0-2008-6098
GCVE (VulDB): GCVE-100-46388
X-Force: 46424
SecurityFocus: 32178 - Bugzilla Quip Manipulation Security Bypass Vulnerability
Secunia: 32501 - Bugzilla Quips Approval Security Bypass Security Issue, Less Critical
OSVDB: 49731 - Bugzilla - Quip Manipulation Security Bypass Issue
Vulnerability Center: 20160 - Mozilla Bugzilla < 3.0.6 Remote Security Bypass Vulnerability Allows Manipulation of Quips, Medium

Vedi anche: 🔍

Voceinformazioni

Data di creazione: 17/03/2015 16:11
Aggiornato: 21/08/2019 16:11
Cambiamenti: 17/03/2015 16:11 (84), 21/08/2019 16:11 (4)
Completa: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Discussione

Might our Artificial Intelligence support you?

Check our Alexa App!