| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
Riassunto
In FretsWeb 1.2 è stata rilevato un punto critico di livello problematico. Si considera coinvolta una funzione sconosciuta nel file charts.php. Attraverso l'influenza del parametro cookie di un input sconosciuto per mezzo di una vulerabilità di classe directory traversal. CVE-2009-2109 è identificato come punto debole. Inoltre, è presente un exploit disponibile.
Dettagli
In FretsWeb 1.2 è stato trovato un punto critico di livello problematico. É interessato una funzione sconosciuta del file charts.php. Attraverso la manipolazione del parametro cookie di un input sconosciuto se causa una vulnerabilità di classe directory traversal. Gli effetti sono noti per la riservatezza.
Data di scoperta del problema 02/06/2009. La vulnerabilità è stata pubblicata in data 17/06/2009 (Website) (non definito). L'advisory è scaricabile da milw0rm.com. Questa vulnerabilità è identificata come CVE-2009-2109. Risulta di facile utilizzo. L'attacco può essere lanciato dalla rete. L'utilizzo non richiede alcuna forma di autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti.
L'exploit è scaricabile da exploit-db.com. È stato dichiarato come prova di concetto. Per almeno 12 giorni, questa vulnerabilità è stata classificata come 0-day exploit. Cercando inurl:charts.php è possibile trovare obiettivi vulnerabili con Google Hacking.
Una possibile soluzione è stata pubblicata già prima e non dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nel database Exploit-DB (8979), OSVDB (55166†) e Secunia (SA35492†). Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Prodotto
Nome
Versione
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 5.3VulDB Punteggio meta temporaneo: 4.8
VulDB Punteggio di base: 5.3
VulDB Punteggio temporaneo: 4.8
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Sfruttamento
Classe: Directory traversalCWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Pubblico
Stato: Prova di concetto
Scaricare: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Exploit-DB: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: nessuna contromisura conosciutaStato: 🔍
Tempo 0 giorni: 🔍
Sequenza temporale
02/06/2009 🔍14/06/2009 🔍
17/06/2009 🔍
18/06/2009 🔍
18/06/2009 🔍
18/06/2009 🔍
18/06/2009 🔍
17/03/2015 🔍
01/12/2024 🔍
Fonti
Avis: milw0rm.com⛔Stato: Non definito
CVE: CVE-2009-2109 (🔍)
GCVE (CVE): GCVE-0-2009-2109
GCVE (VulDB): GCVE-100-48651
Secunia: 35492 - Fretsweb File Inclusion and SQL Injection Vulnerabilities, Moderately Critical
OSVDB: 55166 - Fretsweb admin/common.php Multiple Parameter Traversal Local File Inclusion
scip Labs: https://www.scip.ch/en/?labs.20161013
Vedi anche: 🔍
Voce
Data di creazione: 17/03/2015 23:38Aggiornato: 01/12/2024 20:10
Cambiamenti: 17/03/2015 23:38 (57), 11/11/2018 09:32 (5), 31/01/2023 16:20 (3), 01/12/2024 20:10 (20)
Completa: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.