Axway SecureTransport 5.1 directory traversal

WpisedytowaćHistoryDiffjsonxmlCTI
CVSS Meta Temp ScoreExploit Aktualna Cena (≈)CTI Interest Score
7.7$0-$5k0.00

Odkryto lukę w Axway SecureTransport 5.1. Problemem dotknięta jest nieznana funkcja. Dzięki manipulacji przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności directory traversal. Ma to wpływ na poufność i spójność.

Informacja o podatności została opublikowana w dniu 2012-12-13 przez osobę/y Sebastian Perez (Website). Raport na temat podatności został udostępniony pod adresem exploit-db.com. Podatność ta jest zwana CVE-2012-4991. Eksploitacja luki uchodzi za łatwą. Możliwe jest zdalne przeprowadzenie ataku. Pomyślna eksploitacja wymaga pojedynczego uwierzytelnienia. Szczegóły techniczne są nieznane, ale publiczny exploit jest dostępny.

Exploit został stworzony przez Sebastian Perez i opublikowany później przed, niż raport o błędzie. Uważa się go za proof-of-concept. Exploit można ściągnąć pod adresem exploit-db.com. Podatność ta była wykorzystywana w exploicie typu 0-day przez co najmniej 1 dni.

Nie są znane żadne środki zaradcze. Sugerowana jest zamiana podatnego komponentu na produkt alternatywny.

Błąd jest również udokumentowany w bazie podatności SecurityFocus (BID 56902), X-Force (80646) i Vulnerability Center (SBV-47659).

Produktinfoedytować

Sprzedawca

Name

CPE 2.3infoedytować

CPE 2.2infoedytować

CVSSv3infoedytować

VulDB Meta Base Score: 8.1
VulDB Meta Temp Score: 7.7

VulDB Base Score: 8.1
VulDB Temp Score: 7.7
VulDB Vector: 🔍
VulDB Niezawodność: 🔍

CVSSv2infoedytować

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorMożliwość wykorzystaniaUwierzytelnianieConfidentialityIntegrityDostępność
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Niezawodność: 🔍

NVD Base Score: 🔍

Exploitinfoedytować

Klasa: Directory traversal
CWE: CWE-22
ATT&CK: Nieznany

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Dostęp: Publiczny
Status: Proof-of-Concept
Autor: Sebastian Perez
Download: 🔍

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayunlockunlockunlockunlock
Dzisiajunlockunlockunlockunlock

Exploit-DB: 🔍

Inteligencja Zagrożeńinfoedytować

Zagrożenie: 🔍
Przeciwnicy: 🔍
Geopolityka: 🔍
Gospodarka: 🔍
Prognozy: 🔍
Przeciwdziałanie: 🔍

Przeciwdziałanieinfoedytować

Zalecane: wiadomo nie ograniczanie
Status: 🔍

0-Day Time: 🔍

Oś czasuinfoedytować

2012-09-19 🔍
2012-11-11 +53 dni 🔍
2012-11-11 +0 dni 🔍
2012-12-12 +31 dni 🔍
2012-12-12 +0 dni 🔍
2012-12-13 +1 dni 🔍
2012-12-13 +0 dni 🔍
2014-12-17 +734 dni 🔍
2015-03-24 +97 dni 🔍
2017-04-09 +747 dni 🔍
2017-06-15 +67 dni 🔍

Źródłainfoedytować

Raport: exploit-db.com
Badacz: Sebastian Perez
Status: Nie określono

CVE: CVE-2012-4991 (🔍)
SecurityFocus: 56902 - Axway SecureTransport CVE-2012-4991 Directory Traversal Vulnerability
X-Force: 80646
Vulnerability Center: 47659 - Axway SecureTransport <=5.1 SP2 Multiple Remote Directory Traversal Vulnerabilities via a '..%5C\x27 in a URI, High
OSVDB: 88371

scip Labs: https://www.scip.ch/en/?labs.20161013

Wpisinfoedytować

Stworzono: 2015-03-24 12:22
Aktualizacje: 2017-06-15 11:38
Zmiany: (11) advisory_person_name exploit_availability exploit_date exploit_publicity exploit_url exploit_developer_name source_cve_assigned source_securityfocus_date source_securityfocus_class source_exploitdb source_exploitdb_date
Kompletny: 🔍

Komentarze

Interested in the pricing of exploits?

See the underground prices here!