VDB-121465 · CVE-2016-9498 · BID 97394

Zoho ManageEngine Applications Manager 12/13 Java Object 特権昇格

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
8.5	$0-$5k	0.00

脆弱性が Zoho ManageEngine Applications Manager 12/13 内に見つかりました。この脆弱性は重大として分類されました。この脆弱性により影響を受けるのは、コンポーネント【Java Object Handler】の未知の機能です。未知の値で改ざんすることが、特権昇格を突く攻撃に繋がります。この脆弱性に対応するCWEの定義は CWE-502 です。このバグは 2017年04月04日に発見されました。この脆弱性は 2018年07月13日に Lukasz Juszczykより「Full-Disclosure」の Mailinglist Postにて紹介されました。アドバイザリーは seclists.org で共有されています。

この脆弱性は CVE-2016-9498 として扱われます。 CVEの割り当ては 2016年11月21日に行われました。攻撃はリモートで開始される可能性が高いです。入手できる技術的詳細情報はありません。入手できるエクスプロイトツールはありません。現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。

このエクスプロイトツールは未定義として宣言されています。脆弱性は、少なくとも 465 日の間、非公開の0day攻撃ツールとして扱われました。 0dayにはおよそ $0-$5k の価値があったと予想しています。】のプラグインを提供しています。商用脆弱性スキャナーQualysではプラグイン【 13202 (Zoho ManageEngine Applications Manager Multiple Security Vulnerabilities) 】を使用してこの問題をテストできます。

脆弱性は「SecurityFocus (BID 97394)」等の脆弱性データベースにも文書化されています。

製品情報

タイプ

Log Management Software

ベンダー

Zoho ManageEngine

名前

Applications Manager

バージョン

ライセンス

commercial

CPE 2.3情報

CPE 2.2情報

CVSSv4情報

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB 方向性: 🔍
VulDB 信頼性: 🔍

CVSSv3情報

VulDB ベースメタスコア: 8.5
VulDB 一時的なメタスコア: 8.5

VulDB ベーススコア: 7.3
VulDB 一時的なスコア: 7.3
VulDB 方向性: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 9.8
NVD 方向性: 🔍

CVSSv2情報

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

方向性	複雑度	認証	守秘義務性	誠実性	可用性
解除	解除	解除	解除	解除	解除
解除	解除	解除	解除	解除	解除
解除	解除	解除	解除	解除	解除

VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 🔍

悪用する情報

クラス: 特権昇格
CWE: CWE-502 / CWE-20
CAPEC: 🔍
ATT&CK: 🔍

ローカル: いいえ
リモート: はい

可用性: 🔍
ステータス: 未定義

EPSS Score: 🔍
EPSS Percentile: 🔍

価格予測: 🔍
現在の価格評価: 🔍

0-Day	解除	解除	解除	解除
本日	解除	解除	解除	解除

OpenVAS ID: 802587
OpenVAS 名前: ManageEngine Applications Manager Multiple Vulnerabilities
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍

Qualys ID: 🔍
Qualys 名前: 🔍

脅威インテリジェンス情報

関心: 🔍
アクティブアクター: 🔍
アクティブな APT グループ: 🔍

対策情報

推奨: 既知の緩和策なし
ステータス: 🔍

0day日時: 🔍

タイムライン情報

2016年11月21日 🔍
2017年04月04日 +134 日 🔍
2017年04月04日 +0 日 🔍
2018年07月13日 +464 日 🔍
2018年07月13日 +0 日 🔍
2018年07月14日 +1 日 🔍
2020年03月25日 +620 日 🔍

ソース情報

ベンダー: manageengine.com

アドバイザリー: seclists.org
調査者: Lukasz Juszczyk
ステータス: 未定義
確認: 🔍

CVE: CVE-2016-9498 (🔍)
SecurityFocus: 97394 - ManageEngine Applications Manager Multiple Security Vulnerabilities

関連情報: : 🔍

エントリ情報

作成済み: 2018年07月14日 17:07
更新済み: 2020年03月25日 19:41
変更: 2018年07月14日 17:07 (67), 2020年03月25日 19:41 (5)
完了: 🔍

討論

コメントはまだありません。言語: ja + en.

コメントするにはログインしてください。

◂ 前概要次 ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!