Drupal 迄 7.31 Database Abstraction API expandArguments SQLインジェクション
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
要約
このたび、Drupalにおいて、重大に分類される脆弱性が見つかりました。 該当するのは 関数expandArguments コンポーネントDatabase Abstraction APIのです。 この操作は、 SQLインジェクションを引き起こします。
この脆弱性はCVE-2014-3704という名称で流通しています。 攻撃はリモートから実行できます。 悪用手段は存在しません。
この脆弱性を修正するためにパッチを適用してください。
詳細
このたび、Drupalにおいて、重大に分類される脆弱性が見つかりました。 該当するのは 関数expandArguments コンポーネントDatabase Abstraction APIのです。 この操作は、 SQLインジェクションを引き起こします。 この問題をCWEでは、CWE-89 と定義しました。 この弱点は 2014年10月15日に発表されました 、Stefan Horstによって 、SA-CORE-2014-005 - Drupal core - SQL injectionとして 、勧告として (ウェブサイト)。 アドバイザリはdrupal.orgから入手可能です。
この脆弱性はCVE-2014-3704という名称で流通しています。 CVEが2014年05月14日に割り当てられました。 攻撃はリモートから実行できます。 テクニカルな情報があります。 この脆弱性の人気度は平均より低いです。 悪用手段は存在しません。 現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。 MITRE ATT&CKプロジェクトは攻撃手法をT1505として定義しています。 アドバイザリは以下の内容を示しています:
A vulnerability in this API allows an attacker to send specially crafted requests resulting in arbitrary SQL execution. Depending on the content of the requests this can lead to privilege escalation, arbitrary PHP execution, or other attacks.
高度に機能的 に指定されています。 エクスプロイトはexploit-db.comでダウンロードできます。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$0-$5kでした。 脆弱性スキャナーNessusは、IDが78518のプラグインを提供します。 これは【Debian Local Security Checks 】に分類されています。 0 ポートを使用しています。 商用脆弱性スキャナーQualysではプラグイン【 13054 (Drupal Core Database Abstraction API SQL Injection Vulnerability (SA-CORE-2014-005)) 】を使用してこの問題をテストできます。
この問題は、7.32へのアップグレードによって解決可能です。 修正パッチはdrupal.orgからダウンロード可能です。 この脆弱性を修正するためにパッチを適用してください。 脆弱性の公開後、すぐに 経過してから対策が公開されました。
さらに、この種の攻撃はTippingPointおよびフィルター16892で検出および防止することが可能です。 他の脆弱性データベースにも記載されている脆弱性です: SecurityFocus (BID 70595), SecurityTracker (ID 1031073), Vulnerability Center (SBV-46600) , Tenable (78518).
製品
タイプ
名前
バージョン
- 7.0
- 7.01
- 7.02
- 7.03
- 7.04
- 7.05
- 7.06
- 7.07
- 7.08
- 7.09
- 7.10
- 7.11
- 7.12
- 7.13
- 7.14
- 7.15
- 7.16
- 7.17
- 7.18
- 7.19
- 7.20
- 7.21
- 7.22
- 7.23
- 7.24
- 7.25
- 7.26
- 7.27
- 7.28
- 7.29
- 7.30
- 7.31
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
ビデオ
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 7.3VulDB 一時的なメタスコア: 7.0
VulDB ベーススコア: 7.3
VulDB 一時的なスコア: 7.0
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: SQLインジェクションCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 高度に機能的
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 78518
Nessus 名前: Debian DSA-3051-1 : drupal7 - security update
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Port: 🔍
OpenVAS ID: 703051
OpenVAS 名前: Debian Security Advisory DSA 3051-1 (drupal7 - security update)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
MetaSploit ID: drupal_drupageddon.rb
MetaSploit 名前: Drupal HTTP Parameter Key/Value SQL Injection
MetaSploit ファイル: 🔍
D2Sec: Drupal core 7.x SQL Injection
Exploit-DB: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: パッチステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
アップグレード: Drupal 7.32
パッチ: drupal.org
Suricata ID: 2019422
Suricata クラス: 🔍
Suricata メッセージ: 🔍
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS バージョン: 🔍
ISS Proventia IPS: 🔍
タイムライン
2014年05月14日 🔍2014年10月15日 🔍
2014年10月15日 🔍
2014年10月15日 🔍
2014年10月15日 🔍
2014年10月17日 🔍
2014年10月17日 🔍
2014年10月19日 🔍
2014年10月20日 🔍
2025年01月24日 🔍
ソース
製品: drupal.org勧告: SA-CORE-2014-005 - Drupal core - SQL injection
調査者: Stefan Horst
ステータス: 確認済み
確認: 🔍
CVE: CVE-2014-3704 (🔍)
GCVE (CVE): GCVE-0-2014-3704
GCVE (VulDB): GCVE-100-68037
OVAL: 🔍
SecurityFocus: 70595
Secunia: 59972
OSVDB: 113371
SecurityTracker: 1031073 - Drupal Input Validation Flaw in Database Abstraction API Lets Remote Users Inject SQL Commands
Vulnerability Center: 46600 - Drupal Core 7.x Before 7.32 Remote SQL Injection via Crafted Keys, Medium
scip Labs: https://www.scip.ch/en/?labs.20161013
その他: 🔍
エントリ
作成済み: 2014年10月20日 12:11更新済み: 2025年01月24日 00:23
変更: 2014年10月20日 12:11 (49), 2018年01月29日 16:09 (37), 2022年02月23日 14:33 (4), 2022年02月23日 14:34 (7), 2022年02月23日 14:37 (1), 2024年12月16日 10:08 (20), 2025年01月24日 00:23 (1)
完了: 🔍
Cache ID: 216:1A4:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。