| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 3.3 | $0-$5k | 0.00 |
要約
このたび、Plex Media Server 0.9.9.10において、問題があるに分類される脆弱性が見つかりました。 該当するのは 不明な関数 コンポーネントApp Listing Handlerのです。 この操作は、 弱い暗号化を引き起こします。 攻撃を遠隔で開始することができます。
詳細
このたび、Plex Media Server 0.9.9.10において、問題があるに分類される脆弱性が見つかりました。 該当するのは 不明な関数 コンポーネントApp Listing Handlerのです。 この操作は、 弱い暗号化を引き起こします。 この問題をCWEでは、CWE-311 と定義しました。 この弱点は 2014年02月06日に発表されました 、Stefan Viehböckによって 、SEC Consult Vulnerability Labと共に 、SEC Consult Vulnerability Lab Security Advisory 20140411-0として 、勧告として (ウェブサイト)。 アドバイザリはsec-consult.comで提供されています。
攻撃を遠隔で開始することができます。 テクニカルな情報はありません。 攻撃の難易度が非常に高いです。 悪用の難易度が高いとされています。 この脆弱性の人気度は平均より低いです。 現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。 MITRE ATT&CKプロジェクトは攻撃技術をT1600としています。 アドバイザリは以下の内容を示しています:
The Plex App Store fetches App listings and App code via HTTP. This enables active attackers (MITM) to run code in the context of the Plex Media Server. The Plex "Remote" functionality uses HTTP as well. This enables passive attackers to gain access to the session token in order to access the Plex Media Server web interface.
0-dayの場合、推定されるアンダーグラウンドでの価格は約$0-$5kでした。 勧告では次のように指摘されています:
No proof of concept needed. The Plex App store is located at: http://nine.plugins.plexapp.com
アドバイザリには次のような記載があります:
Vendor confirms that certificate has been revoked. No other fixes have been implemented.
他の脆弱性データベースにも記載されている脆弱性です: SecurityFocus (BID 66783), X-Force (92765) , Secunia (SA57882).
製品
ベンダー
名前
バージョン
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 3.7VulDB 一時的なメタスコア: 3.3
VulDB ベーススコア: 3.7
VulDB 一時的なスコア: 3.3
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
クラス: 弱い暗号化CWE: CWE-311 / CWE-310
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: 既知の緩和策なしステータス: 🔍
0day日時: 🔍
タイムライン
2014年02月06日 🔍2014年02月06日 🔍
2014年02月09日 🔍
2014年02月10日 🔍
2014年04月25日 🔍
2014年05月05日 🔍
2017年08月09日 🔍
ソース
勧告: SEC Consult Vulnerability Lab Security Advisory 20140411-0調査者: Stefan Viehböck
組織: SEC Consult Vulnerability Lab
ステータス: 未定義
GCVE (VulDB): GCVE-100-13137
X-Force: 92765 - Plex Media Server App listings unauthorized access, Medium Risk
SecurityFocus: 66783 - Plex Media Server Multiple Security Vulnerabilities
Secunia: 57882 - Plex Media Server Multiple Vulnerabilities, Less Critical
関連情報: 🔍
エントリ
作成済み: 2014年05月05日 10:20更新済み: 2017年08月09日 14:08
変更: 2014年05月05日 10:20 (48), 2017年08月09日 14:08 (12)
完了: 🔍
Cache ID: 216:164:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。