Mozilla Bugzilla 2.14/2.14.1/2.16 Error Message syncshadowdb Password information disclosure
| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Podatność, która została odkryta w Mozilla Bugzilla 2.14/2.14.1/2.16 (Bug Tracking Software). Dotknięta jest nieznana funkcja w komponencie Error Message Handler. Dzięki manipulacji argumentem syncshadowdb przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności ujawnienie informacji. Ma to wpływ na poufność.
Informacja o podatności została opublikowana w dniu upubliczniona 2002-06-08 przez osobę/y Dave Miller w formie nie określono posting (Bugtraq). Raport na temat podatności został udostępniony pod adresem archives.neohapsis.com. Podatność ta jest znana jako CVE-2002-0810. Eksploitacja luki uchodzi za łatwą. Możliwe jest zdalne przeprowadzenie ataku. Eksploitacja nie wymaga żadnej formy uwierzytelnienia. Są znane pewne szczegóły techniczne, ale exploit nie jest dostępny.
Skaner podatności Nessus jest wyposażony w plugin ID 11463 (Bugzilla < 2.14.2 / 2.16rc2 / 2.17 Multiple Vulnerabilities (SQLi, XSS, ID, Cmd Exe)), który pomaga ustalić, czy dane środowisko jest podatne na atak.
Aktualizacja do wersji 2.14.2 lub 2.16rc2 eliminuje tę podatność.
Błąd jest również udokumentowany w bazie podatności X-Force (9306) i Tenable (11463).
Produkt
Rodzaj
Sprzedawca
Imię
Wersja
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 5.3VulDB Wynik metatemperatury: 5.1
VulDB Wynik podstawowy: 5.3
VulDB Wynik tymczasowy: 5.1
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 🔍
Exploit
Imię: PasswordKlasa: Ujawnienie informacji / Password
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Status: Nie określono
EPSS Score: 🔍
EPSS Percentile: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Nessus ID: 11463
Nessus Imię: Bugzilla < 2.14.2 / 2.16rc2 / 2.17 Multiple Vulnerabilities (SQLi, XSS, ID, Cmd Exe)
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: UpgradeStatus: 🔍
0-dniowy czas: 🔍
Upgrade: Bugzilla 2.14.2/2.16rc2
Oś czasu
2002-06-08 🔍2002-06-08 🔍
2002-06-08 🔍
2002-08-12 🔍
2003-03-24 🔍
2004-05-25 🔍
2004-07-05 🔍
2014-07-22 🔍
2019-05-22 🔍
Źródła
Sprzedawca: mozilla.orgRaport: archives.neohapsis.com
Badacz: Dave Miller
Status: Nie określono
Potwierdzenie: 🔍
CVE: CVE-2002-0810 (🔍)
X-Force: 9306
Vulnerability Center: 4680 - Bugzilla 2.14 - 2.14.2, 2.16 - 2.16rc2 Allows Obtaining Sensitive Information via Error Message, Low
SecurityFocus: 4964 - Multiple Bugzilla Security Vulnerabilities
OSVDB: 6399 - Bugzilla shadow-sync Arbitrary Password Disclosure
Zobacz także: 🔍
Wpis
Stworzono: 2014-07-22 23:59Aktualizacje: 2019-05-22 18:26
Zmiany: 2014-07-22 23:59 (71), 2019-05-22 18:26 (4)
Kompletny: 🔍
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.