Telecommunication Software SAMwin Contact Center Suite 5.1 Database SAMwinLIBVB.dll getCurrentDBVersion SQLインジェクション
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 5.6 | $0-$5k | 0.15 |
重大 として分類されている脆弱性が Telecommunication Software SAMwin Contact Center Suite 5.1 内に見つかりました。 影響を受けるのは、コンポーネント【Database Handler】のライブラリ【SAMwinLIBVB.dll】内の関数【getCurrentDBVersion】です。 未知の値で改ざんすることが、 SQLインジェクションを突く攻撃に繋がります。 この脆弱性に対応するCWEの定義は CWE-89 です。 この脆弱性は 2014年03月13日に modzero AGの Tobias Ospelt and Max Moserより「Website」の アドバイザリーにて 「MZ-13-06」として 紹介されました。 アドバイザリーは modzero.ch にてダウンロード用に公開されています。 一般向けリリースはベンダーと調整済みです。
この脆弱性は CVE-2013-10003 として扱われます。 攻撃はリモートで開始される可能性があります。 技術的詳細情報が入手可能です。 さらに、入手できるエクスプロイトツールが存在します。 エクスプロイトツールは一般に公開されており、悪用される可能性があります。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、攻撃手法を T1505 と定義しています。
Due to the absence of any middleware sanitizing and verifying input data send by the SAMwin Agent, arbitrary SQL commands can be executed from the username field of the SAMwin Agent login mask. When a SAMwin Agent user logs in, the username and password will be compared against values that are stored in the database. By terminating the username with a single quote character, any person with access to the SAMwin Agent login form can execute malicious SQL statements. For example, the following string can be used as username to verify the SQL command execution on the SQL server.とアドバイザリーは指摘しています。
このエクスプロイトツールは proof-of-concept として宣言されています。 エクスプロイトツールは modzero.ch にダウンロードのために共有されています。 脆弱性は、少なくとも 174 日の間、非公開の0day攻撃ツールとして扱われました。 0dayにはおよそ $0-$5k の価値があったと予想しています。 】のプラグインを提供しています。
バージョン 6.2 をアップグレードすることで、この問題に対処できます。 影響を受けているコンポーネントのアップグレードを推奨します。 考えられる回避策が、前として脆弱性の公開後公表されました 。
影響あり
- Telecommunication Software SAMwin Contact Center Suite 5.1
- Telecommunication Software SAMwin Agent 5.01.19.06
製品
ベンダー
名前
バージョン
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB 方向性: 🔍
VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 6.5VulDB 一時的なメタスコア: 5.6
VulDB ベーススコア: 6.5
VulDB 一時的なスコア: 5.6
VulDB 方向性: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 方向性 | 複雑度 | 認証 | 守秘義務性 | 誠実性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用する
クラス: SQLインジェクションCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: Proof-of-Concept
作成者: Tobias Ospelt/Max Moser
プログラミング言語: 🔍
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブ アクター: 🔍
アクティブな APT グループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
エクスプロイト遅延日時: 🔍
アップグレード: SAMwin Contact Center Suite 6.2
タイムライン
2013年09月20日 🔍2013年09月24日 🔍
2014年03月13日 🔍
2014年03月13日 🔍
2014年04月03日 🔍
2022年05月24日 🔍
ソース
アドバイザリー: MZ-13-06調査者: Tobias Ospelt, Max Moser
組織: modzero AG
ステータス: 未定義
調整済み: 🔍
CVE: CVE-2013-10003 (🔍)
関連情報: : 🔍
エントリ
作成済み: 2014年04月03日 17:21更新済み: 2022年05月24日 15:14
変更: 2014年04月03日 17:21 (57), 2019年03月31日 22:05 (1), 2022年05月24日 15:14 (3)
完了: 🔍
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。