Deon George phpLDAPadmin 1.1.0.5 cmd.php cmd directory traversal
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
Riassunto
È stata scoperta una vulnerabilità classificata come problematico in Deon George phpLDAPadmin 1.1.0.5. Si considera coinvolta una funzione sconosciuta nel file cmd.php. L’alterazione dell’argomento cmd causa directory traversal. Questa vulnerabilità è identificata come CVE-2009-4427. Inoltre, è presente un exploit disponibile.
Dettagli
Una vulnerabilità di livello critico è stata rilevata in Deon George phpLDAPadmin 1.1.0.5. Interessato da questa vulnerabilità è una funzione sconosciuta del file cmd.php. Attraverso l'influenza del parametro cmd di un input sconosciuto se causa una vulnerabilità di classe directory traversal. Questo ha effetti su riservatezza, integrità e disponibilità.
La vulnerabilità è stata pubblicata in data 10/12/2009 da ipsecs (Website) (confermato). L'advisory è scaricabile da securityfocus.com. Questa vulnerabilità è identificata come CVE-2009-4427. L'utilità è conosciuta come semplice. Nella rete si effettua l'attacco. L'utilizzo non richiede alcuna forma di autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti.
Un metodo di utilizzo è stato sviluppato da ipsecs ed è stata pubblicata immediatamente dopo il comunicato. L'exploit è scaricabile da exploit-db.com. È stato dichiarato come prova di concetto. Cercando inurl:cmd.php è possibile trovare obiettivi vulnerabili con Google Hacking. È disponibile un plugin per lo scanner Nessus, numero ID 44830 (Debian DSA-1965-1 : phpldapadmin - missing input sanitising), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
Informazioni riguardo una possibile contromisura non sono al momento disponibili. Si suggerisce di sostituire il prodotto con uno equivalente.
La vulnerabilità è documentata anche nel database X-Force (54823), Exploit-DB (10410), Tenable (44830), SecurityFocus (BID 37327†) e OSVDB (61139†). If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Prodotto
Fornitore
Nome
Versione
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 7.3VulDB Punteggio meta temporaneo: 6.9
VulDB Punteggio di base: 7.3
VulDB Punteggio temporaneo: 6.9
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Sfruttamento
Classe: Directory traversalCWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Pubblico
Stato: Prova di concetto
Autore: ipsecs
Scaricare: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Nessus ID: 44830
Nessus Nome: Debian DSA-1965-1 : phpldapadmin - missing input sanitising
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Famiglia: 🔍
Nessus Port: 🔍
OpenVAS ID: 66579
OpenVAS Nome: Fedora Core 11 FEDORA-2009-13598 (phpldapadmin)
OpenVAS File: 🔍
OpenVAS Famiglia: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Exploit-DB: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: nessuna contromisura conosciutaStato: 🔍
Tempo 0 giorni: 🔍
Tempo di ritardo sfruttamento: 🔍
Sequenza temporale
26/11/2009 🔍10/12/2009 🔍
10/12/2009 🔍
10/12/2009 🔍
14/12/2009 🔍
18/12/2009 🔍
28/12/2009 🔍
28/12/2009 🔍
27/01/2010 🔍
24/02/2010 🔍
18/03/2015 🔍
03/02/2025 🔍
Fonti
Avis: securityfocus.com⛔Ricercatore: ipsecs
Stato: Confermato
CVE: CVE-2009-4427 (🔍)
GCVE (CVE): GCVE-0-2009-4427
GCVE (VulDB): GCVE-100-51309
OVAL: 🔍
X-Force: 54823
SecurityFocus: 37327 - phpLDAPadmin 'cmd.php' Local File Include Vulnerability
OSVDB: 61139 - phpLDAPadmin cmd.php cmd Parameter Traversal Local File Inclusion
Vulnerability Center: 24699 - phpLDAPadmin 1.1.0.5 Remote Arbitrary Code Execution via a ../ in the cmd.php Parameter, High
scip Labs: https://www.scip.ch/en/?labs.20161013
Voce
Data di creazione: 18/03/2015 15:15Aggiornato: 03/02/2025 12:57
Cambiamenti: 18/03/2015 15:15 (64), 20/02/2017 10:15 (15), 30/08/2021 10:18 (3), 30/08/2021 10:24 (1), 03/02/2025 12:57 (16)
Completa: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.