Domoticz 0.2.40 WebServer.cpp GetFloorplanImage idx sql injection

CVSS Wynik metatemperaturyExploit Aktualna Cena (≈)Wynik odsetkowy CTI
8.4$0-$5k0.00

Streszczenieinformacje

Podatność została odkryta w Domoticz. Dotknięta jest funkcja CWebServer::GetFloorplanImage w pliku WebServer.cpp. Poprzez manipulację argumentem idx jako częścią Parameter można doprowadzić do wystąpienia podatności sql injection. Raport na temat podatności został udostępniony pod adresem exploit-db.com. Podatność ta została oznaczona identyfikatorem CVE-2019-10664. Atak może zostać przeprowadzony zdalnie. Sugeruje się, że najlepszym zabezpieczeniem jest aktualizacja do najnowszej wersji. If you want to get best quality of vulnerability data, you may have to visit VulDB.

Detaleinformacje

W Domoticz została stwierdzona podatność. Problemem dotknięta jest funkcja CWebServer::GetFloorplanImage w pliku WebServer.cpp. Dzięki manipulacji argumentem idx jako częścią Parameter można doprowadzić do wystąpienia podatności sql injection. Ma to wpływ na poufność, spójność i dostępność.

Błąd został odkryty w dniu 2019-03-31. Informacja o podatności została opublikowana w dniu 2019-03-31 (Website). Raport na temat podatności został udostępniony pod adresem exploit-db.com. Identyfikatorem tej podatności jest CVE-2019-10664. Luka uchodzi za łatwo wykorzystywalną. Możliwe jest zdalne przeprowadzenie ataku. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Techniczne szczegóły i publiczny exploit są znane.

Exploit można ściągnąć pod adresem exploit-db.com. Uważa się go za dowód koncepcji.

Aktualizacja do wersji 4.10578 eliminuje tę podatność.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinformacje

Imię

Wersja

Licencja

CPE 2.3informacje

CPE 2.2informacje

CVSSv4informacje

VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv3informacje

VulDB Wynik metabazy: 8.5
VulDB Wynik metatemperatury: 8.2

VulDB Wynik podstawowy: 7.3
VulDB Wynik tymczasowy: 6.6
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

NVD Wynik podstawowy: 9.8
NVD Wektor: 🔍

CVSSv2informacje

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
WektorMożliwość wykorzystaniaUwierzytelnianiePoufnośćIntegralnośćDostępność
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować

VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍

NVD Wynik podstawowy: 🔍

Exploitinformacje

Klasa: Sql injection
CWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Dostęp: Publiczny
Status: Dowód koncepcji
Pobierać: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayodblokowaćodblokowaćodblokowaćodblokować
Dzisiajodblokowaćodblokowaćodblokowaćodblokować

Exploit-DB: 🔍

Inteligencja Zagrożeńinformacje

Wysiłek: 🔍
Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍

Przeciwdziałanieinformacje

Zalecane: Aktualizacja
Status: 🔍

0-dniowy czas: 🔍

Aktualizacja: Domoticz 4.10578
Poprawka: github.com

Oś czasuinformacje

2019-03-31 🔍
2019-03-31 +0 dni 🔍
2019-03-31 +0 dni 🔍
2019-03-31 +0 dni 🔍
2025-06-14 +2267 dni 🔍

Źródłainformacje

Raport: 152678
Status: Potwierdzone

CVE: CVE-2019-10664 (🔍)
GCVE (CVE): GCVE-0-2019-10664
GCVE (VulDB): GCVE-100-132644
scip Labs: https://www.scip.ch/en/?labs.20161013
Zobacz także: 🔍

Wpisinformacje

Stworzono: 2019-03-31 20:15
Aktualizacje: 2025-06-14 19:59
Zmiany: 2019-03-31 20:15 (57), 2020-05-23 10:29 (2), 2023-08-17 21:49 (6), 2025-06-14 19:59 (24)
Kompletny: 🔍
Cache ID: 216:DCE:103

Dyskusja

Brak komentarzy. Języki: pl + en.

Zaloguj się, aby skomentować.

Do you need the next level of professionalism?

Upgrade your account now!