Django 1.8.1/1.8.2/1.8.6/1.9 Time Username information disclosure

wpiseditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Exploit Aktualna Cena (≈)
CTI Interest Score
2.7$0-$5k0.00

W Django 1.8.1/1.8.2/1.8.6/1.9 (Content Management System) została odkryta podatność. Dotknięta jest nieznana funkcja w komponencie Time Handler. Poprzez manipulowanie przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności ujawnienie informacji. Wpływa to na poufność.

Informacja o podatności została opublikowana w dniu upubliczniona 2016-03-01 przez osobę/y Sjoerd Job Postmus (Website). Raport na temat podatności został udostępniony pod adresem djangoproject.com. Podatność ta posiada unikalny identyfikator CVE-2016-2513. Luka jest łatwa do wykorzytania. Atak może zostać zainicjowany zdalnie. Eksploitacja nie wymaga żadnej formy uwierzytelnienia. Ani szczegóły techniczne, ani exploit nie są publicznie dostępne.

Skaner podatności Nessus jest wyposażony w plugin ID 89079 (Ubuntu 12.04 LTS / 14.04 LTS / 15.10 : python-django vulnerabilities (USN-2915-1)), który pomaga ustalić, czy dane środowisko jest podatne na atak.

Aktualizacja do wersji 1.8.10 lub 1.9.3 eliminuje tę podatność. Potencjalne zabezpieczenie zostało opublikowane po ujawnieniu podatności.

Błąd jest również udokumentowany w bazie podatności SecurityFocus (BID 83878), X-Force (111180), Vulnerability Center (SBV-58064) i Tenable (89079).

Produktinfoedit

Rodzaj

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 3.1
VulDB Meta Temp Score: 2.7

VulDB Base Score: 3.1
VulDB Temp Score: 2.7
VulDB Vector: 🔍
VulDB Niezawodność: 🔍

NVD Base Score: 3.1
NVD Vector: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Niezawodność: 🔍

NVD Base Score: 🔍

Exploitinfoedit

Name: Username
Klasa: Ujawnienie informacji / Username
CWE: CWE-200
ATT&CK: Nieznany

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Status: Niesprawdzone

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayunlockunlockunlockunlock
Dzisiajunlockunlockunlockunlock

Nessus ID: 89079
Nessus Name: Ubuntu 12.04 LTS / 14.04 LTS / 15.10 : python-django vulnerabilities (USN-2915-1)
Nessus File: 🔍
Nessus Risk: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 867773
OpenVAS Name: Fedora Update for python-django FEDORA-2016-11183
OpenVAS File: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfoedit

Zagrożenie: 🔍
Przeciwnicy: 🔍
Geopolityka: 🔍
Gospodarka: 🔍
Prognozy: 🔍
Przeciwdziałanie: 🔍

Przeciwdziałanieinfoedit

Zalecane: Upgrade
Status: 🔍

Reaction Time: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: Django 1.8.10/1.9.3

Oś czasuinfoedit

2016-02-19 🔍
2016-03-01 +11 dni 🔍
2016-03-01 +0 dni 🔍
2016-03-01 +0 dni 🔍
2016-03-01 +0 dni 🔍
2016-03-02 +1 dni 🔍
2016-03-03 +1 dni 🔍
2016-04-08 +35 dni 🔍
2016-04-12 +4 dni 🔍
2018-08-13 +853 dni 🔍
2019-02-04 +175 dni 🔍

Źródłainfoedit

Raport: djangoproject.com
Badacz: Sjoerd Job Postmus
Status: Potwierdzone
Potwierdzenie: 🔍

CVE: CVE-2016-2513 (🔍)
OVAL: 🔍

SecurityFocus: 83878 - Django CVE-2016-2513 Security Bypass Vulnerability
X-Force: 111180 - Django time difference information disclosure
Vulnerability Center: 58064 - Django <1.8.10 and 1.9 - 1.92 Password Hasher Remote Users Enumeration Vulnerability, Low

Zobacz także: 🔍

Wpisinfoedit

Stworzono: 2016-03-03 10:52
Aktualizacje: 2019-02-04 11:35
Zmiany: (13) vulnerability_cvss3_vuldb_av vulnerability_cvss3_vuldb_ac vulnerability_cvss3_vuldb_pr vulnerability_cvss3_vuldb_ui vulnerability_cvss3_vuldb_s vulnerability_cvss3_vuldb_c vulnerability_cvss3_vuldb_i vulnerability_cvss3_vuldb_a advisory_person_name advisory_confirm_url countermeasure_date source_securityfocus_date source_securityfocus_class
Kompletny: 🔍

Komentarze

Want to stay up to date on a daily basis?

Enable the mail alert feature now!