cygnux.org sysPass do 1.0.9 ajax/ajax_search.php search sql injection

wpiseditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Exploit Aktualna Cena (≈)
CTI Interest Score
6.0$0-$5k0.00

W cygnux.org sysPass do 1.0.9 została stwierdzona podatność. Dotknięta jest nieznana funkcja w pliku ajax/ajax_search.php. Poprzez manipulowanie argumentem search przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności sql injection. Wpływa to na poufność, spójność i dostępność.

Informacja o podatności została opublikowana w dniu upubliczniona 2015-08-18 (Website). Raport na temat podatności został udostępniony pod adresem syss.de. Identyfikatorem tej podatności jest CVE-2015-6516. Atak może zostać zainicjowany zdalnie. Pojedyncze uwierzytelnienie jest potrzebne do eksploitacji. Techniczne szczegóły, jak również publiczny exploit są znane.

Exploit został stworzony przez SySS GmbH i opublikowany później przed, niż raport o błędzie. Uważa się go za proof-of-concept. Exploit można ściągnąć pod adresem exploit-db.com. Podatność ta była wykorzystywana w exploicie typu 0-day przez co najmniej 35 dni.

Nie są znane żadne środki zaradcze. Sugerowana jest zamiana podatnego komponentu na produkt alternatywny.

Produktinfoedit

Sprzedawca

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 6.0

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Niezawodność: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Niezawodność: 🔍

NVD Base Score: 🔍

Exploitinfoedit

Klasa: Sql injection
CWE: CWE-89
ATT&CK: Nieznany

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Dostęp: Publiczny
Status: Proof-of-Concept
Autor: SySS GmbH
Download: 🔍

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayunlockunlockunlockunlock
Dzisiajunlockunlockunlockunlock

Qualys ID: 🔍
Qualys Name: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfoedit

Zagrożenie: 🔍
Przeciwnicy: 🔍
Geopolityka: 🔍
Gospodarka: 🔍
Prognozy: 🔍
Przeciwdziałanie: 🔍

Przeciwdziałanieinfoedit

Zalecane: wiadomo nie ograniczanie
Status: 🔍

0-Day Time: 🔍

Oś czasuinfoedit

2015-07-14 🔍
2015-07-14 +0 dni 🔍
2015-08-18 +35 dni 🔍
2015-08-18 +0 dni 🔍
2015-08-18 +0 dni 🔍
2015-08-19 +1 dni 🔍
2017-10-18 +791 dni 🔍

Źródłainfoedit

Raport: syss.de
Status: Nie określono

CVE: CVE-2015-6516 (🔍)
scip Labs: https://www.scip.ch/en/?labs.20161013

Wpisinfoedit

Stworzono: 2015-08-19 10:27
Aktualizacje: 2017-10-18 11:53
Zmiany: (8) exploit_availability exploit_date exploit_publicity exploit_url exploit_developer_name source_cve_assigned source_exploitdb source_exploitdb_date
Kompletny: 🔍

Komentarze

Interested in the pricing of exploits?

See the underground prices here!