Locazo LocazoList Classifieds 1.05e viewmsg.asp msgid sql injection

wpiseditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Exploit Aktualna Cena (≈)
CTI Interest Score
6.9$0-$5k0.00

W Locazo LocazoList Classifieds 1.05e została stwierdzona podatność. Problemem dotknięta jest nieznana funkcja w pliku viewmsg.asp. Dzięki manipulowaniu argumentem msgid przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności sql injection. Ma to wpływ na poufność, spójność i dostępność.

Błąd został odkryty w dniu 2006-06-03. Informacja o podatności została opublikowana w dniu 2006-06-06 przez osobę/y ajann (Website). Raport na temat podatności został udostępniony pod adresem vupen.com. Identyfikatorem tej podatności jest CVE-2006-2858. Luka uchodzi za łatwą do wykorzystania. Możliwe jest zdalne zainicjowanie ataku. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Techniczne szczegóły i publiczny exploit są znane.

Uważa się go za proof-of-concept. Exploit można ściągnąć pod adresem securityfocus.com. Podatność ta była wykorzystywana w exploicie typu 0-day przez co najmniej 3 dni.

Nie są znane żadne środki zaradcze. Sugerowana jest zamiana podatnego komponentu na produkt alternatywny.

Błąd jest również udokumentowany w bazie podatności SecurityFocus (BID 18254), X-Force (26900), Secunia (SA20462), SecurityTracker (ID 1016222) i Vulnerability Center (SBV-12078).

Produktinfoedit

Sprzedawca

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 6.9

VulDB Base Score: 7.3
VulDB Temp Score: 6.9
VulDB Vector: 🔍
VulDB Niezawodność: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Niezawodność: 🔍

NVD Base Score: 🔍

Exploitinfoedit

Klasa: Sql injection
CWE: CWE-89
ATT&CK: Nieznany

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Dostęp: Publiczny
Status: Proof-of-Concept
Download: 🔍

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayunlockunlockunlockunlock
Dzisiajunlockunlockunlockunlock

Threat Intelligenceinfoedit

Zagrożenie: 🔍
Przeciwnicy: 🔍
Geopolityka: 🔍
Gospodarka: 🔍
Prognozy: 🔍
Przeciwdziałanie: 🔍

Przeciwdziałanieinfoedit

Zalecane: wiadomo nie ograniczanie
Status: 🔍

0-Day Time: 🔍

Oś czasuinfoedit

2006-06-02 🔍
2006-06-02 +0 dni 🔍
2006-06-03 +1 dni 🔍
2006-06-05 +2 dni 🔍
2006-06-05 +0 dni 🔍
2006-06-06 +1 dni 🔍
2006-06-06 +0 dni 🔍
2006-06-06 +0 dni 🔍
2006-06-27 +21 dni 🔍
2015-03-12 +3180 dni 🔍
2017-08-11 +883 dni 🔍
2019-06-21 +679 dni 🔍

Źródłainfoedit

Raport: vupen.com
Badacz: ajann
Status: Nie określono

CVE: CVE-2006-2858 (🔍)
SecurityFocus: 18254 - LocazoList Classifieds Viewmsg.ASP SQL Injection Vulnerability
Secunia: 20462 - LocazoList Classifieds "msgid" Parameter SQL Injection, Moderately Critical
X-Force: 26900
SecurityTracker: 1016222
Vulnerability Center: 12078 - LocazoList Classifieds 1.05e Remote SQL Injection Vulnerability, Medium
OSVDB: 25961 - LocazoList Classifieds - Viewmsg.ASP - SQL Injection Issue
Vupen: ADV-2006-2136

scip Labs: https://www.scip.ch/en/?labs.20161013

Wpisinfoedit

Stworzono: 2015-03-12 14:25
Aktualizacje: 2019-06-21 12:22
Zmiany: (4) vulnerability_discoverydate exploit_url source_osvdb source_osvdb_title
Kompletny: 🔍

Komentarze

Do you want to use VulDB in your project?

Use the official API to access entries easily!