| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.4 | $0-$5k | 0.12 |
要約
このたび、Horde Webmail 迄 2.0.5において、重大に分類される脆弱性が見つかりました。 対象となるのは 不明な関数 コンポーネントHorde_ldapのです。 引数 パスワードの操作が、 弱い認証をもたらします。 この脆弱性はCVE-2014-3999という名称で流通しています。 影響コンポーネントのアップグレードを推奨します。
詳細
このたび、Horde Webmail 迄 2.0.5において、重大に分類される脆弱性が見つかりました。 対象となるのは 不明な関数 コンポーネントHorde_ldapのです。 引数 パスワードの操作が、 弱い認証をもたらします。 この脆弱性に対応するCWEの定義は CWE-287 です。 この弱点は 2014年06月03日に発表されました 、Matthew Daleyによって 、[horde] SECURITY: authentication bypass in Horde_Ldapとして 、Postingとして (Mailing List)。 アドバイザリはlists.horde.orgでダウンロードできます。
この脆弱性はCVE-2014-3999という名称で流通しています。 CVEが2014年06月09日に割り当てられました。 テクニカルな情報があります。 この脆弱性の一般的な利用度は平均を下回っています。 今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。 本アドバイザリによると、次の通りです:
So far only certain setups have been confirmed to be exploitable: The system must use LDAP for authentication, an LDAP user must have been specified for binding (as opposed to anonymous binding), that LDAP user must have the same parent DN like the system users, and the attacker must guess the binding user's name. In this case the attacker can login with the guessed name and an empty password. Whether this actually allows for further access to data or to the system, completely depends on the individual setup. It's possible that other mitigation factors exist though, that haven't been discovered yet.
0-dayの場合、推定されるアンダーグラウンドでの価格は約$0-$5kでした。
バージョン2.0.6にアップグレードすることで、この問題に対処できます。 影響コンポーネントのアップグレードを推奨します。 脆弱性の公開後、すぐに 経過してから対策が公開されました。
他の脆弱性データベースにも記載されている脆弱性です: SecurityFocus (BID 68014), X-Force (93846), Secunia (SA58860) , Vulnerability Center (SBV-45076).
製品
タイプ
ベンダー
名前
バージョン
ライセンス
ウェブサイト
- ベンダー: https://www.horde.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 7.3VulDB 一時的なメタスコア: 6.9
VulDB ベーススコア: 6.5
VulDB 一時的なスコア: 5.7
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 8.1
NVD ベクトル: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 弱い認証CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
アップグレード: Webmail 2.0.6
タイムライン
2014年06月03日 🔍2014年06月03日 🔍
2014年06月03日 🔍
2014年06月03日 🔍
2014年06月09日 🔍
2014年06月12日 🔍
2014年06月12日 🔍
2014年06月22日 🔍
2018年04月10日 🔍
2021年06月22日 🔍
ソース
ベンダー: horde.org勧告: [horde] SECURITY: authentication bypass in Horde_Ldap
調査者: Matthew Daley
ステータス: 確認済み
確認: 🔍
CVE: CVE-2014-3999 (🔍)
GCVE (CVE): GCVE-0-2014-3999
GCVE (VulDB): GCVE-100-13582
X-Force: 93846 - Horde Horde_Ldap security bypass, Medium Risk
SecurityFocus: 68014 - Horde_Ldap Authentication Bypass Vulnerability
Secunia: 58860 - Horde Horde_ldap Module Bind Security Bypass Security Issue, Moderately Critical
OSVDB: 107708
Vulnerability Center: 45076 - PHP Horde LDAP <2.0.6 Remote Security Bypass Vulnerability, Medium
エントリ
作成済み: 2014年06月12日 23:31更新済み: 2021年06月22日 20:12
変更: 2014年06月12日 23:31 (47), 2017年05月31日 08:56 (28), 2021年06月22日 20:04 (3), 2021年06月22日 20:12 (11)
完了: 🔍
Cache ID: 216:300:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。