Sun Java System Access Manager 7.1 privilege escalation

CVSS Wynik metatemperaturyExploit Aktualna Cena (≈)Wynik odsetkowy CTI
7.9$5k-$25k0.00

Podatność została odkryta w Sun Java System Access Manager 7.1 (Access Management Software). Dotknięta jest nieznana funkcja w komponencie Access Manager. Poprzez manipulację przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przekroczenie uprawnień. Wpływa to na poufność, spójność i dostępność.

Błąd został odkryty w dniu 2009-01-12. Informacja o podatności została opublikowana w dniu upubliczniona 2009-01-16 (Website). Raport na temat podatności został udostępniony pod adresem sunsolve.sun.com. Podatność ta została oznaczona identyfikatorem CVE-2009-0169. Wykorzystywanie luki jest uważane za łatwe. Atak może zostać przeprowadzony zdalnie. W celu pomyślnej eksploitacji potrzeba pojedynczego uwierzytelnienia. Ani szczegóły techniczne, ani exploit nie są publicznie dostępne.

Uważa się go za proof-of-concept. Podatność ta była wykorzystywana w exploicie typu 0-day przez co najmniej 4 dni. Skaner podatności Nessus jest wyposażony w plugin ID 107950 (Solaris 10 (x86) : 126357-06), który pomaga ustalić, czy dane środowisko jest podatne na atak.

Zastosowanie poprawka eliminuje problem. Potencjalne zabezpieczenie zostało opublikowane 3 lat po ujawnieniu podatności.

Błąd jest również udokumentowany w bazie podatności X-Force (47944), SecurityTracker (ID 1021604), Vulnerability Center (SBV-20788) i Tenable (107950).

Produktinfo

Rodzaj

Sprzedawca

Imię

CPE 2.3info

CPE 2.2info

CVSSv3info

VulDB Wynik metabazy: 8.8
VulDB Wynik metatemperatury: 7.9

VulDB Wynik podstawowy: 8.8
VulDB Wynik tymczasowy: 7.9
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
WektorMożliwość wykorzystaniaUwierzytelnianiePoufnośćIntegralnośćDostępność
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować

VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍

NVD Wynik podstawowy: 🔍

Exploitinfo

Klasa: Przekroczenie uprawnień
CWE: CWE-264
ATT&CK: T1068

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayodblokowaćodblokowaćodblokowaćodblokować
Dzisiajodblokowaćodblokowaćodblokowaćodblokować

Nessus ID: 107950
Nessus Imię: Solaris 10 (x86) : 126357-06
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

Inteligencja Zagrożeńinfo

Wysiłek: 🔍
Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍

Przeciwdziałanieinfo

Zalecane: Poprawka
Status: 🔍

Czas reakcji: 🔍
0-dniowy czas: 🔍
Czas ekspozycji: 🔍

Poprawka: sunsolve.sun.com

Oś czasuinfo

2009-01-12 🔍
2009-01-14 +2 dni 🔍
2009-01-15 +1 dni 🔍
2009-01-16 +1 dni 🔍
2009-01-16 +0 dni 🔍
2009-01-16 +0 dni 🔍
2009-01-16 +0 dni 🔍
2009-02-09 +24 dni 🔍
2011-04-23 +803 dni 🔍
2015-03-17 +1424 dni 🔍
2018-03-12 +1091 dni 🔍
2019-08-26 +532 dni 🔍

Źródłainfo

Sprzedawca: oracle.com

Raport: sunsolve.sun.com
Status: Potwierdzone
Potwierdzenie: 🔍

CVE: CVE-2009-0169 (🔍)
IAVM: 🔍

X-Force: 47944
SecurityTracker: 1021604
Vulnerability Center: 20788 - Sun Java System Access Manager 7.1 Sub-Realm Administrators Privilege Escalation Vulnerability, High
SecurityFocus: 33266 - Sun Java System Access Manager 'sub-realm' Privilege Escalation Vulnerability
OSVDB: 51382 - Sun - Java System Access Manager - 'sub-realm' Privilege Escalation Issue
Vupen: ADV-2009-0157

Zobacz także: 🔍

Wpisinfo

Stworzono: 2015-03-17 16:11
Aktualizacje: 2019-08-26 18:37
Zmiany: (9) vulnerability_discoverydate countermeasure_name countermeasure_date source_osvdb source_osvdb_title source_nessus_id source_nessus_name source_nessus_filename source_nessus_family
Kompletny: 🔍

Komentarze

Brak komentarzy. Języki: pl + en.

Zaloguj się, aby skomentować.

Might our Artificial Intelligence support you?

Check our Alexa App!