VDB-53016 · CVE-2010-1431 · BID 39653

Cacti do 0.8.7e templates_export.php export_item_id sql injection

CVSS Wynik metatemperaturyExploit Aktualna Cena (≈)Wynik odsetkowy CTI
7.3$0-$5k0.00

Podatność, która została odkryta w Cacti (Log Management Software). Dotknięta jest nieznana funkcja w pliku templates_export.php. Dzięki manipulacji argumentem export_item_id przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności sql injection. Ma to wpływ na poufność, spójność i dostępność.

Informacja o podatności została opublikowana w dniu upubliczniona 2010-05-04 przez osobę/y Nahuel Grisolia (Website). Raport na temat podatności został udostępniony pod adresem cacti.net. Podatność ta jest znana jako CVE-2010-1431. Eksploitacja luki jest uważana za łatwą. Możliwe jest zdalne przeprowadzenie ataku. Eksploitacja nie wymaga żadnej formy uwierzytelnienia. Są znane pewne szczegóły techniczne, ale exploit nie jest dostępny.

Poprzez wyszukiwanie inurl:templates_export.php, możliwe jest odnajdowanie podatnych celów przy użyciu techniki Google Hacking. Skaner podatności Nessus jest wyposażony w plugin ID 45614 (FreeBSD : cacti -- SQL injection and command execution vulnerabilities (5198ef84-4fdc-11df-83fb-0015587e2cc1)), który pomaga ustalić, czy dane środowisko jest podatne na atak.

Nie są znane żadne środki zaradcze. Sugerowana jest zamiana podatnego komponentu na produkt alternatywny.

Błąd jest również udokumentowany w bazie podatności Tenable (45614).

Produktinfo

Rodzaj

Imię

Wersja

Licencja

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv3info

VulDB Wynik metabazy: 7.3
VulDB Wynik metatemperatury: 7.3

VulDB Wynik podstawowy: 7.3
VulDB Wynik tymczasowy: 7.3
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
WektorMożliwość wykorzystaniaUwierzytelnianiePoufnośćIntegralnośćDostępność
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować

VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍

NVD Wynik podstawowy: 🔍

Exploitinfo

Klasa: Sql injection
CWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Status: Nie określono
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayodblokowaćodblokowaćodblokowaćodblokować
Dzisiajodblokowaćodblokowaćodblokowaćodblokować

Nessus ID: 45614
Nessus Imię: FreeBSD : cacti -- SQL injection and command execution vulnerabilities (5198ef84-4fdc-11df-83fb-0015587e2cc1)
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍

OpenVAS ID: 67340
OpenVAS Imię: Debian Security Advisory DSA 2039-1 (cacti)
OpenVAS Plik: 🔍
OpenVAS Family: 🔍

Inteligencja Zagrożeńinfo

Wysiłek: 🔍
Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍

Przeciwdziałanieinfo

Zalecane: wiadomo nie ograniczanie
Status: 🔍

0-dniowy czas: 🔍

Oś czasuinfo

2010-04-15 🔍
2010-04-17 +2 dni 🔍
2010-04-26 +9 dni 🔍
2010-05-04 +8 dni 🔍
2010-05-04 +0 dni 🔍
2010-05-04 +0 dni 🔍
2010-05-06 +2 dni 🔍
2015-03-19 +1778 dni 🔍
2021-09-08 +2365 dni 🔍

Źródłainfo

Raport: cacti.net
Badacz: Nahuel Grisolia
Status: Nie określono
Potwierdzenie: 🔍

CVE: CVE-2010-1431 (🔍)
Vulnerability Center: 25643 - Cacti 0.8.7e and Earlier templates_export.php SQL Injection Vulnerability, Medium
SecurityFocus: 39653 - Cacti 'export_item_id' Parameter SQL Injection Vulnerability

Wpisinfo

Stworzono: 2015-03-19 12:22
Aktualizacje: 2021-09-08 19:20
Zmiany: 2015-03-19 12:22 (58), 2017-02-24 09:43 (9), 2021-09-08 19:12 (4), 2021-09-08 19:20 (1)
Kompletny: 🔍

Dyskusja

Brak komentarzy. Języki: pl + en.

Zaloguj się, aby skomentować.

PoprzedniPrzeglądKolejny

Do you know our Splunk app?

Download it now for free!