KDE 4.10.0/4.10.1/4.10.2/4.10.3 kioslave/http/http.cpp m_request.url.url information disclosure
| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 3.6 | $0-$5k | 0.00 |
W KDE 4.10.0/4.10.1/4.10.2/4.10.3 została stwierdzona podatność. Podatnością dotknięta jest funkcja m_request.url.url w bibliotece kdelibs w pliku kioslave/http/http.cpp. Poprzez manipulowanie przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności ujawnienie informacji. Wpływa to na poufność.
Informacja o podatności została podana do publicznej wiadomości w dniu 2013-05-06 przez osobę/y Vincent Danen z firmy Red Hat Security Response Team w formie nie określono mailinglist post (oss-sec). Raport na temat podatności został udostępniony pod adresem seclists.org. Identyfikatorem tej podatności jest CVE-2013-2074. Luka uchodzi za łatwą do wykorzystania. Lokalny dostęp jest konieczny, by atak się powiódł. Do eksploitacji nie potrzeba żadnej formy uwierzytelnienia. Techniczne szczegóły, jak również publiczny exploit są znane.
Exploit został ujawniony wydaniem poprawki. Exploit można ściągnąć pod adresem seclists.org. Uważa się go za proof-of-concept. Skaner podatności Nessus jest wyposażony w plugin ID 66655 (Fedora 18 : kdelibs3-3.5.10-53.fc18 (2013-8717)), który pomaga ustalić, czy dane środowisko jest podatne na atak.
Zastosowanie poprawka eliminuje problem. Poprawka jet dostępna pod adresem projects.kde.org. Potencjalne zabezpieczenie zostało opublikowane 2 dni po ujawnieniu podatności.
Błąd jest również udokumentowany w bazie podatności X-Force (84171) i Tenable (66655).
Produkt
Imię
Wersja
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 4.0VulDB Wynik metatemperatury: 3.6
VulDB Wynik podstawowy: 4.0
VulDB Wynik tymczasowy: 3.6
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 🔍
Exploit
Klasa: Ujawnienie informacjiCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Lokalny: Tak
Zdalny: Nie
Dostępność: 🔍
Dostęp: Publiczny
Status: Proof-of-Concept
Pobierać: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Nessus ID: 66655
Nessus Imię: Fedora 18 : kdelibs3-3.5.10-53.fc18 (2013-8717)
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 865649
OpenVAS Imię: Fedora Update for kdelibs3 FEDORA-2013-8689
OpenVAS Plik: 🔍
OpenVAS Family: 🔍
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: PoprawkaStatus: 🔍
Czas reakcji: 🔍
0-dniowy czas: 🔍
Czas ekspozycji: 🔍
Wykorzystaj czas opóźnienia: 🔍
Poprawka: projects.kde.org
Oś czasu
2013-02-19 🔍2013-05-06 🔍
2013-05-06 🔍
2013-05-08 🔍
2013-05-10 🔍
2013-05-10 🔍
2013-05-14 🔍
2013-05-29 🔍
2013-06-10 🔍
2014-02-05 🔍
2021-05-10 🔍
Źródła
Raport: seclists.orgBadacz: Vincent Danen
Organizacja: Red Hat Security Response Team
Status: Nie określono
Potwierdzenie: 🔍
CVE: CVE-2013-2074 (🔍)
OVAL: 🔍
X-Force: 84171
Vulnerability Center: 39937 - KDE kdelibs Local Password Disclosure Vulnerability due to Internal Server Errors Returning the User and Password, Low
SecurityFocus: 59808 - kdelibs CVE-2013-2074 Local Password Disclosure Vulnerability
OSVDB: 93244
scip Labs: https://www.scip.ch/en/?labs.20161013
Zobacz także: 🔍
Wpis
Stworzono: 2013-05-14 16:13Aktualizacje: 2021-05-10 17:14
Zmiany: 2013-05-14 16:13 (80), 2017-05-02 08:35 (4), 2021-05-10 17:14 (3)
Kompletny: 🔍
Cache ID: 3:66C:103
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.