MobileIron Virtual Smartphone Platform 迄 5.9.0 j_spring_security_check j_username 情報漏えい
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.8 | $0-$5k | 0.00 |
要約
MobileIron Virtual Smartphone Platform 迄 5.9.0内に 重大 として分類された脆弱性が発見されました。 この脆弱性により影響を受けるのは、ファイル【/mics/j_spring_security_check】に含まれる未知の機能です。 操作 引数j_usernameの結果として 情報漏えいにつながります。 この脆弱性は CVE-2014-1409 として扱われます。 影響を受けるコンポーネントのアップグレードを推奨します。
詳細
MobileIron Virtual Smartphone Platform 迄 5.9.0内に 重大 として分類された脆弱性が発見されました。 この脆弱性により影響を受けるのは、ファイル【/mics/j_spring_security_check】に含まれる未知の機能です。 操作 引数j_usernameの結果として 情報漏えいにつながります。 CWEを用いて問題を定義すると、CWE-200 となります。 バグは2013年12月19日に発見されました。 この弱点は発表されました 2014年04月02日 Nico Leideckerによって (Matta Consultingとともに) MATTA-2013-004として 勧告として (ウェブサイト)。 アドバイザリはtrustmatta.comでダウンロードできます。 公開リリースはベンダーと調整されています。
この脆弱性は CVE-2014-1409 として扱われます。 CVEの割り当ては2014年01月10日に行われました。 技術的な詳細が利用可能です。 この脆弱性の人気度は平均より低いです。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトによると、攻撃手法はT1592です。 勧告では次の点が指摘されています:
The 'j_username' parameter of the script at https://<target>/mics/j_spring_security_check is vulnerable to blind XPath Injection, allowing an unauthenticated attacker to retrieve the underlying XML document. This XML document is an excerpt of the configuration file of the device. It contains obfuscated passwords and, depending on configuration, might contain domain credentials and allow the attacker to reposition both internally and on any of the attached devices.
この脆弱性は少なくとも62日間、非公開のゼロデイ攻撃として扱われていました。 0dayにはおよそ $0-$5k の価値があったと予想しています。 】のプラグインを提供しています。
バージョン 5.9.1 をアップグレードすることで、この問題に対処できます。 影響を受けるコンポーネントのアップグレードを推奨します。
この脆弱性は他の脆弱性データベースにも記載されています: SecurityFocus (BID 66595) , X-Force (92351).
影響あり
- MobileIron MobileIron Sentry 迄 4.9
- MobileIron Virtual Smartphone Platform 迄 5.9.0
製品
タイプ
ベンダー
名前
バージョン
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 7.8VulDB 一時的なメタスコア: 7.4
VulDB ベーススコア: 6.5
VulDB 一時的なスコア: 5.7
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 9.1
NVD ベクトル: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 情報漏えいCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
アップグレード: Virtual Smartphone Platform 5.9.1
タイムライン
2013年12月19日 🔍2013年12月30日 🔍
2013年12月30日 🔍
2014年01月10日 🔍
2014年02月19日 🔍
2014年04月02日 🔍
2014年04月02日 🔍
2014年04月09日 🔍
2021年06月16日 🔍
ソース
勧告: MATTA-2013-004調査者: Nico Leidecker
組織: Matta Consulting
ステータス: 確認済み
調整済み: 🔍
CVE: CVE-2014-1409 (🔍)
GCVE (CVE): GCVE-0-2014-1409
GCVE (VulDB): GCVE-100-12840
X-Force: 92351 - MobileIron VSP and Sentry XPath injection, Medium Risk
SecurityFocus: 66595 - MobileIron VSP and Sentry 'j_username' Parameter XPath Injection Weakness
その他: 🔍
関連情報: 🔍
エントリ
作成済み: 2014年04月09日 11:49更新済み: 2021年06月16日 16:53
変更: 2014年04月09日 11:49 (58), 2019年04月01日 10:15 (10), 2021年06月16日 16:45 (2), 2021年06月16日 16:53 (18)
完了: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。