| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
要約
脆弱性が問題があるとして分類され、TYPO3 迄 6.2で発見されました。 該当するのは 不明な関数 コンポーネントContent Editing Wizardのです。 この 引数urlの操作は、 特権昇格を引き起こします。 この脆弱性はCVE-2013-7073として取引されています。 対象コンポーネントのアップグレードを推奨します。
詳細
脆弱性が問題があるとして分類され、TYPO3 迄 6.2で発見されました。 該当するのは 不明な関数 コンポーネントContent Editing Wizardのです。 この 引数urlの操作は、 特権昇格を引き起こします。 この問題をCWEでは、CWE-264 と定義しました。 この脆弱性は 2013年12月10日に公開されました 、Georg Ringerによって 、TYPO3 Security Teamとともに 、TYPO3-CORE-SA-2013-004: Multiple Vulnerabilities in TYPO3 CMSとして 、勧告として (ウェブサイト)。 アドバイザリーは typo3.org から入手可能です。
この脆弱性はCVE-2013-7073として取引されています。 CVEのアサインは2013年12月11日に実施されました。 技術詳細が存在します。 この脆弱性の人気度は平均より低いです。 現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。 この脆弱性は、MITRE ATT&CKプロジェクトによって T1068 に割り当てられました。 アドバイザリは以下の内容を示しています:
Failing to check for user permissions, it is possible for authenticated editors to read (but not update or change) content from arbitrary TYPO3 table columns by forging URL parameters.
未定義 として設定されています。 0-dayとして、アンダーグラウンドでの推定価格は$5k-$25k程度でした。 Nessus脆弱性スキャナーは、IDが71782のプラグインを持っています。 これは【Debian Local Security Checks 】に分類されています。 0 ポートを使用しています。 商用脆弱性スキャナーQualysではプラグイン【 169121 (OpenSuSE Security Update for typo3-cms-4_7 (openSUSE-SU-2016:2114-1)) 】を使用してこの問題をテストできます。
この問題は、4.5.32, 4.7.17, 6.0.12 , 6.1.7へのアップグレードによって解決可能です。 対象コンポーネントのアップグレードを推奨します。 脆弱性が開示されてから すぐに 経過後に、対策が提供されました。
他の脆弱性データベースにもこの脆弱性の情報があります: SecurityFocus (BID 64238), X-Force (89619), Vulnerability Center (SBV-42815) , Tenable (71782).
製品
タイプ
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.3VulDB 一時的なメタスコア: 4.1
VulDB ベーススコア: 4.3
VulDB 一時的なスコア: 4.1
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 特権昇格CWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 71782
Nessus 名前: Debian DSA-2834-1 : typo3-src - several vulnerabilities
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Port: 🔍
OpenVAS ID: 702834
OpenVAS 名前: Debian Security Advisory DSA 2834-1 (typo3-src - several vulnerabilities
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
アップグレード: TYPO3 4.5.32/4.7.17/6.0.12/6.1.7
タイムライン
2013年12月10日 🔍2013年12月10日 🔍
2013年12月10日 🔍
2013年12月10日 🔍
2013年12月11日 🔍
2013年12月13日 🔍
2013年12月23日 🔍
2014年01月02日 🔍
2014年01月07日 🔍
2021年06月04日 🔍
ソース
製品: typo3.org勧告: TYPO3-CORE-SA-2013-004: Multiple Vulnerabilities in TYPO3 CMS
調査者: Georg Ringer
組織: TYPO3 Security Team
ステータス: 確認済み
確認: 🔍
CVE: CVE-2013-7073 (🔍)
GCVE (CVE): GCVE-0-2013-7073
GCVE (VulDB): GCVE-100-11481
OVAL: 🔍
X-Force: 89619
SecurityFocus: 64238 - TYPO3 (Old) Form Content Element Information Disclosure Vulnerability
OSVDB: 100880
Vulnerability Center: 42815 - TYPO3 Content Editing Wizards Component Remote Information Disclosure Vulnerability via Unspecified Parameters - CVE-2013-7073, Medium
その他: 🔍
関連情報: 🔍
エントリ
作成済み: 2013年12月13日 09:01更新済み: 2021年06月04日 09:36
変更: 2013年12月13日 09:01 (81), 2017年05月19日 10:33 (4), 2021年06月04日 09:36 (3)
完了: 🔍
Cache ID: 216:CB0:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。