Invision Power Services IP.Gallery fino a 2.0.5 index.php img iniezione SQL

CVSS Punteggio meta temporaneoPrezzo attuale dell'exploit (≈)Punteggio di interesse CTI
6.6$0-$5k0.00

Riassuntoinformazioni

È stata scoperta una vulnerabilità classificata come critico in Invision Power Services IP.Gallery fino a 2.0.5. Si considera coinvolta una funzione sconosciuta nel file index.php. L’alterazione dell’argomento img causa iniezione SQL. L'attacco si effettua con la rete. Inoltre, è presente un exploit disponibile. Si raccomanda di installare una patch per correggere questa vulnerabilità.

Dettagliinformazioni

Una vulnerabilità di livello critico è stata rilevata in Invision Power Services IP.Gallery fino a 2.0.5 (Photo Gallery Software). Interessato da questa vulnerabilità è una funzione sconosciuta del file index.php. Attraverso la manipolazione del parametro img di un input sconosciuto se causa una vulnerabilità di classe iniezione sql. Questo ha effetti su riservatezza, integrità e disponibilità.

La vulnerabilità è stata pubblicata in data 17/01/2013 da Security Team (DiGiT) da Ashiyane Digital Security Team con identificazione 57444 con un bulletin (Bugtraq) (confermato). L'advisory è scaricabile da securityfocus.com. La pubblicazione non è avvenuta in collaborazione con la ditta produttrice. L'uso è semplice. Con la rete può partire l'attacco. L'utilizzo non richiede alcuna forma di autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti.

Un metodo di utilizzo è stato sviluppato da Ashiyane Digital Security Team ed è stata pubblicata immediatamente dopo il comunicato. L'exploit è scaricabile da exploit-db.com. È stato dichiarato come prova di concetto. Cercando "Invision Power Board" "Register Now" è possibile trovare obiettivi vulnerabili con Google Hacking.

Applicando a patch è possibile eliminare il problema.

La vulnerabilità è documentata anche nel database Exploit-DB (24180), SecurityFocus (BID 57444†) e OSVDB (89337†). If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Prodottoinformazioni

Genere

Fornitore

Nome

Versione

Licenza

Sito web

CPE 2.3informazioni

CPE 2.2informazioni

CVSSv4informazioni

VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv3informazioni

VulDB Punteggio meta-base: 7.3
VulDB Punteggio meta temporaneo: 6.6

VulDB Punteggio di base: 7.3
VulDB Punteggio temporaneo: 6.6
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv2informazioni

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VettoreComplessitàAutenticazioneRiservatezzaIntegritàDisponibilità
SbloccareSbloccareSbloccareSbloccareSbloccareSbloccare
SbloccareSbloccareSbloccareSbloccareSbloccareSbloccare
SbloccareSbloccareSbloccareSbloccareSbloccareSbloccare

VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍

Sfruttamentoinformazioni

Classe: Iniezione SQL
CWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Fisico: No
Locale: No
Remoto: Si

Disponibilità: 🔍
Accesso: Pubblico
Stato: Prova di concetto
Autore: Ashiyane Digital Security Team
Scaricare: 🔍
Google Hack: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍

0-DaySbloccareSbloccareSbloccareSbloccare
OggiSbloccareSbloccareSbloccareSbloccare

Exploit-DB: 🔍

Intelligence sulle minacceinformazioni

Interesse: 🔍
Attori attivi: 🔍
Gruppi APT attivi: 🔍

Contromisureinformazioni

Raccomandazione: Patch
Stato: 🔍

Tempo 0 giorni: 🔍
Tempo di ritardo sfruttamento: 🔍

Sequenza temporaleinformazioni

17/01/2013 🔍
17/01/2013 +0 giorni 🔍
17/01/2013 +0 giorni 🔍
17/01/2013 +0 giorni 🔍
28/05/2013 +131 giorni 🔍
22/03/2019 +2124 giorni 🔍

Fontiinformazioni

Fornitore: invisioncommunity.com

Avis: 57444
Ricercatore: Security Team (DiGiT)
Organizzazione: Ashiyane Digital Security Team
Stato: Confermato

GCVE (VulDB): GCVE-100-8901
SecurityFocus: 57444 - IP.Gallery 'img' Parameter SQL Injection Vulnerability
OSVDB: 89337

scip Labs: https://www.scip.ch/en/?labs.20161013

Voceinformazioni

Data di creazione: 28/05/2013 12:48
Aggiornato: 22/03/2019 15:29
Cambiamenti: 28/05/2013 12:48 (57), 22/03/2019 15:29 (2)
Completa: 🔍
Committer: olku
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Discussione

Ancora nessun commento. Lingue: it + ro + en.

Effettua il login per commentare.

Do you need the next level of professionalism?

Upgrade your account now!