Oracle Application Server Dynamic Monitoring Services weak authentication
| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
W Oracle Application Server (Application Server Software) została stwierdzona podatność. Dotknięta jest nieznana funkcja w komponencie Dynamic Monitoring Services. Dzięki manipulowaniu przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności słabe uwierzytelnianie. Ma to wpływ na poufność, spójność i dostępność.
Informacja o podatności została opublikowana w dniu upubliczniona 2002-01-10 przez osobę/y David Litchfield z firmy NGSSoftware (Website). Raport na temat podatności został udostępniony pod adresem marc.theaimsgroup.com. Identyfikatorem tej podatności jest CVE-2002-0563. Możliwe jest zdalne zainicjowanie ataku. Eksploitacja nie wymaga żadnej formy uwierzytelnienia. Szczegóły techniczne są nieznane, ale exploit jest dostępny.
Exploit został ujawniony wydaniem poprawki. Uważa się go za proof-of-concept. Skaner podatności Nessus jest wyposażony w plugin ID 10848 (Oracle 9iAS DMS / JPM Pages Anonymous Access), który pomaga ustalić, czy dane środowisko jest podatne na atak.
Nie są znane żadne środki zaradcze. Sugerowana jest zamiana podatnego komponentu na produkt alternatywny.
Błąd jest również udokumentowany w bazie podatności X-Force (8455) i Tenable (10848).
Produkt
Rodzaj
Sprzedawca
Imię
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 7.3VulDB Wynik metatemperatury: 6.9
VulDB Wynik podstawowy: 7.3
VulDB Wynik tymczasowy: 6.9
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 🔍
Exploit
Klasa: Słabe uwierzytelnianieCWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Nessus ID: 10848
Nessus Imię: Oracle 9iAS DMS / JPM Pages Anonymous Access
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
OpenVAS ID: 53594
OpenVAS Imię: Oracle 9iAS Java Process Manager
OpenVAS Plik: 🔍
OpenVAS Family: 🔍
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: wiadomo nie ograniczanieStatus: 🔍
0-dniowy czas: 🔍
Wykorzystaj czas opóźnienia: 🔍
Snort ID: 1872
Oś czasu
2002-01-10 🔍2002-01-10 🔍
2002-02-25 🔍
2002-07-03 🔍
2002-09-12 🔍
2016-04-11 🔍
2022-07-13 🔍
Źródła
Sprzedawca: oracle.comRaport: marc.theaimsgroup.com
Badacz: David Litchfield
Organizacja: NGSSoftware
Status: Nie określono
CVE: CVE-2002-0563 (🔍)
X-Force: 8455
SecurityFocus: 4293 - Oracle 9iAS Unautheticated User Access To Sensitive Services Vulnerability
OSVDB: 705 - Oracle Application Server Multiple Dynamic Monitoring Services Remote Anonymous Access
scip Labs: https://www.scip.ch/en/?labs.20161013
Zobacz także: 🔍
Wpis
Stworzono: 2016-04-11 14:48Aktualizacje: 2022-07-13 09:06
Zmiany: 2016-04-11 14:48 (58), 2018-10-01 10:54 (8), 2022-07-13 09:06 (4)
Kompletny: 🔍
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.