| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
要約
phpMyAdmin 迄 4.0.10.4/4.1.14.5/4.2.10内に 問題がある として分類された脆弱性が発見されました。 影響を受けるのは、コンポーネント【SQL Debug Handler】の未知の関数です。 未知の値で改ざんすることが、 特権昇格を突く攻撃に繋がります}。 この脆弱性は CVE-2014-8326 として扱われます。 攻撃はリモートで開始される可能性が高いです。 さらに、入手できるエクスプロイトツールが存在します。 影響を受けているコンポーネントのアップグレードを推奨します。
詳細
phpMyAdmin 迄 4.0.10.4/4.1.14.5/4.2.10内に 問題がある として分類された脆弱性が発見されました。 影響を受けるのは、コンポーネント【SQL Debug Handler】の未知の関数です。 未知の値で改ざんすることが、 特権昇格を突く攻撃に繋がります}。 CWEを使用して問題を宣言すると、CWE-661 につながります。 この弱点は発表されました 2014年10月21日 (phpMyAdminとともに) PMASA-2014-12として 勧告として (ウェブサイト)。 アドバイザリーは phpmyadmin.net で共有されています。
この脆弱性は CVE-2014-8326 として扱われます。 CVEの割り当ては2014年10月18日に行われました。 攻撃はリモートで開始される可能性が高いです。 技術的な詳細は利用できません。 この脆弱性の普及度は平均未満です。 さらに、入手できるエクスプロイトツールが存在します。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 アドバイザリーは次を指摘しています。
With a crafted database or table name it is possible to trigger an XSS in SQL debug output when enabled and in server monitor page when viewing and analysing executed queries.
高度に機能的 として宣言されています。 0dayにはおよそ $5k-$25k の価値があったと予想しています。 脆弱性スキャナーNessusはID【78807 (Fedora 19 : phpMyAdmin-4.2.10.1-1.fc19 (2014-13504))】のプラグインを提供しています。不具合の有無をターゲット環境にて判定できます。 Fedora Local Security Checks ファミリーに分類されています。 これにはポート 0 が利用されます。 商用脆弱性スキャナーQualysではプラグイン【 13072 (phpMyAdmin Multiple Security Vulnerabilities (PMASA-2014-11 -PMASA-2014-16)) 】を使用してこの問題をテストできます。
4.0.10.5, 4.1.14.6 , 4.2.10.1にアップグレードすることで、本問題を解消できます。 影響を受けているコンポーネントのアップグレードを推奨します。 脆弱性が公開されてから すぐに 後に、対策が発表されました。
この脆弱性は他の脆弱性データベースにも記載されています: SecurityFocus (BID 70731), X-Force (98325), Vulnerability Center (SBV-46949) , Tenable (78807).
製品
タイプ
名前
バージョン
- 4.0.10.0
- 4.0.10.1
- 4.0.10.2
- 4.0.10.3
- 4.0.10.4
- 4.1.14.0
- 4.1.14.1
- 4.1.14.2
- 4.1.14.3
- 4.1.14.4
- 4.1.14.5
- 4.2.0
- 4.2.1
- 4.2.2
- 4.2.3
- 4.2.4
- 4.2.5
- 4.2.6
- 4.2.7
- 4.2.8
- 4.2.9
- 4.2.10
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.3VulDB 一時的なメタスコア: 4.1
VulDB ベーススコア: 4.3
VulDB 一時的なスコア: 4.1
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 特権昇格CWE: CWE-661
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 高度に機能的
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 78807
Nessus 名前: Fedora 19 : phpMyAdmin-4.2.10.1-1.fc19 (2014-13504)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Port: 🔍
OpenVAS ID: 867301
OpenVAS 名前: Fedora Update for phpMyAdmin FEDORA-2014-13521
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
アップグレード: phpMyAdmin 4.0.10.5/4.1.14.6/4.2.10.1
パッチ: github.com
タイムライン
2014年10月18日 🔍2014年10月21日 🔍
2014年10月21日 🔍
2014年10月21日 🔍
2014年10月21日 🔍
2014年10月29日 🔍
2014年11月03日 🔍
2014年11月05日 🔍
2014年11月10日 🔍
2022年02月23日 🔍
ソース
製品: phpmyadmin.net勧告: PMASA-2014-12
組織: phpMyAdmin
ステータス: 確認済み
確認: 🔍
CVE: CVE-2014-8326 (🔍)
GCVE (CVE): GCVE-0-2014-8326
GCVE (VulDB): GCVE-100-68075
X-Force: 98325 - phpMyAdmin SQL debug cross-site scripting, Medium Risk
SecurityFocus: 70731 - phpMyAdmin CVE-2014-8326 Multiple Cross Site Scripting Vulnerabilities
Vulnerability Center: 46949 - phpMyAdmin Remote XSS Vulnerability via a Crafted Database or Table Name, Low
scip Labs: https://www.scip.ch/en/?labs.20161013
関連情報: 🔍
エントリ
作成済み: 2014年10月29日 16:08更新済み: 2022年02月23日 20:53
変更: 2014年10月29日 16:08 (76), 2017年06月11日 05:16 (5), 2022年02月23日 20:45 (4), 2022年02月23日 20:53 (1)
完了: 🔍
Cache ID: 216:94B:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。