| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
要約
脆弱性が Plex Media Server 0.9.9.10 内に見つかりました。この脆弱性は 問題がある として分類されました。 影響を受けるのは、コンポーネント【Python Stack Trace Handler】の未知の関数です。 未知の値で改ざんすることが、 情報漏えいを突く攻撃に繋がります}。 攻撃はリモートで開始される可能性が高いです。 さらに、入手できるエクスプロイトツールが存在します。
詳細
脆弱性が Plex Media Server 0.9.9.10 内に見つかりました。この脆弱性は 問題がある として分類されました。 影響を受けるのは、コンポーネント【Python Stack Trace Handler】の未知の関数です。 未知の値で改ざんすることが、 情報漏えいを突く攻撃に繋がります}。 CWEを使用して問題を宣言すると、CWE-200 につながります。 この脆弱性は公開されました 2014年02月06日 によりStefan Viehböck (SEC Consult Vulnerability Labと共に) としてSEC Consult Vulnerability Lab Security Advisory 20140411-0 として勧告 (ウェブサイト)。 アドバイザリーは sec-consult.com で共有されています。
攻撃はリモートで開始される可能性が高いです。 入手できる技術的詳細情報はありません。 この脆弱性の普及度は平均未満です。 さらに、入手できるエクスプロイトツールが存在します。 エクスプロイトツールは一般に公開されており、悪用される可能性があります。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、攻撃手法を T1592 と定義しています。 アドバイザリーは次を指摘しています。
Python stack traces are included in the responses for some requests. This allows an attacker to gain information about the target operating system, local file paths etc. which can be used in further attacks.
概念実証 であると宣言されています。 エクスプロイトツールは sec-consult.com からダウンロードできます。 0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。 エクスプロイトツールには下記のコードが含まれています。
GET /system/proxy HTTP/1.1 Host: <HOST> X-Plex-Url: http://my.plexapp.com/NONEXISTANT】のプラグインを提供しています。
この脆弱性は他の脆弱性データベースにも文書化されています: SecurityFocus (BID 66783), X-Force (92767) , Secunia (SA57882).
製品
ベンダー
名前
バージョン
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 5.3VulDB 一時的なメタスコア: 4.8
VulDB ベーススコア: 5.3
VulDB 一時的なスコア: 4.8
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
クラス: 情報漏えいCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
著者: Stefan Viehböck
プログラミング言語: 🔍
ダウンロード: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: 既知の緩和策なしステータス: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
タイムライン
2014年02月06日 🔍2014年02月06日 🔍
2014年02月06日 🔍
2014年02月10日 🔍
2014年04月25日 🔍
2014年05月05日 🔍
2017年08月09日 🔍
ソース
勧告: SEC Consult Vulnerability Lab Security Advisory 20140411-0調査者: Stefan Viehböck
組織: SEC Consult Vulnerability Lab
ステータス: 未定義
GCVE (VulDB): GCVE-100-13139
X-Force: 92767 - Plex Media Server X-Plex-Url information disclosure, Medium Risk
SecurityFocus: 66783 - Plex Media Server Multiple Security Vulnerabilities
Secunia: 57882 - Plex Media Server Multiple Vulnerabilities, Less Critical
scip Labs: https://www.scip.ch/en/?labs.20161013
関連情報: 🔍
エントリ
作成済み: 2014年05月05日 10:55更新済み: 2017年08月09日 14:08
変更: 2014年05月05日 10:55 (51), 2017年08月09日 14:08 (12)
完了: 🔍
Cache ID: 216:821:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。