| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
Podatność, która została odkryta w PHP Live Helper (Programming Language Software). Problemem dotknięta jest nieznana funkcja w pliku blank.php. Dzięki manipulowaniu argumentem abs_path przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przekroczenie uprawnień. Ma to wpływ na poufność, spójność i dostępność.
Informacja o podatności została opublikowana w dniu 2006-03-26 przez osobę/y rUnViRuS w formie nie określono posting (Bugtraq). Raport na temat podatności został udostępniony pod adresem archives.neohapsis.com. Luka jest łatwo eksploitowalna. Możliwe jest zdalne zainicjowanie ataku. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Techniczne szczegóły i exploit są znane.
Exploit został ujawniony jeszcze przed wydaniem poprawki. Exploit można ściągnąć pod adresem worlddefacers.de. Uważa się go za proof-of-concept. Poprzez wyszukiwanie inurl:blank.php, możliwe jest odnajdowanie podatnych celów przy użyciu techniki Google Hacking. Skaner podatności Nessus jest wyposażony w plugin ID 21159 (PHP Live Helper Multiple Remote File Inclusions), który pomaga ustalić, czy dane środowisko jest podatne na atak.
Nie są znane żadne środki zaradcze. Sugerowana jest zamiana podatnego komponentu na produkt alternatywny.
Błąd jest również udokumentowany w bazie podatności Tenable (21159).
Produkt
Rodzaj
Imię
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 7.3VulDB Wynik metatemperatury: 6.9
VulDB Wynik podstawowy: 7.3
VulDB Wynik tymczasowy: 6.9
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
Exploit
Klasa: Przekroczenie uprawnieńCWE: CWE-73
CAPEC: 🔍
ATT&CK: 🔍
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Status: Proof-of-Concept
Pobierać: 🔍
Google Hack: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Nessus ID: 21159
Nessus Imię: PHP Live Helper Multiple Remote File Inclusions
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: wiadomo nie ograniczanieStatus: 🔍
0-dniowy czas: 🔍
Oś czasu
2006-03-26 🔍2006-03-26 🔍
2006-03-28 🔍
2006-03-28 🔍
2006-03-28 🔍
2016-05-06 🔍
2022-07-29 🔍
Źródła
Raport: archives.neohapsis.comBadacz: rUnViRuS
Status: Nie określono
SecurityFocus: 18509
Secunia: 19428 - PHP Live Helper "abs_path" File Inclusion Vulnerability, Highly Critical
OSVDB: 24199 - PHP Live Helper blank.php abs_path Parameter Remote File Inclusion
scip Labs: https://www.scip.ch/en/?labs.20161013
Zobacz także: 🔍
Wpis
Stworzono: 2016-05-06 08:28Aktualizacje: 2022-07-29 09:30
Zmiany: 2016-05-06 08:28 (54), 2018-11-18 16:16 (2), 2022-07-29 09:30 (2)
Kompletny: 🔍
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.