| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
W ProFTPD do 1.2.10 (File Transfer Software) została odkryta podatność. Podatnością dotknięta jest nieznana funkcja w komponencie User Account Handler. Poprzez manipulowanie przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności ujawnienie informacji. Wpływa to na poufność.
Błąd został odkryty w dniu 2004-10-15. Informacja o podatności została podana do publicznej wiadomości w dniu 2004-10-14 przez osobę/y Leon Juranic z firmy LSS Security Team (Website). Raport na temat podatności został udostępniony pod adresem security.lss.hr. Podatność ta posiada unikalny identyfikator CVE-2004-1602. Luka jest stosunkowo popularna, co wynika między innymi z jej niskiej złożoności. Atak może zostać zainicjowany zdalnie. Do eksploitacji nie potrzeba żadnej formy uwierzytelnienia. Szczegóły techniczne są nieznane, ale publiczny exploit jest dostępny.
Exploit został ujawniony 2 dni wydaniem poprawki. Exploit można ściągnąć pod adresem security.lss.hr. Uważa się go za proof-of-concept. Skaner podatności Nessus jest wyposażony w plugin ID 15484 (ProFTPD Login Timing Account Name Enumeration), który pomaga ustalić, czy dane środowisko jest podatne na atak.
Zastosowanie poprawka eliminuje problem. Poprawka jet dostępna pod adresem proftpd.org.
Błąd jest również udokumentowany w bazie podatności X-Force (17724), Tenable (15484) i Exploit-DB (581).
Produkt
Rodzaj
Imię
Wersja
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 5.3VulDB Wynik metatemperatury: 4.8
VulDB Wynik podstawowy: 5.3
VulDB Wynik tymczasowy: 4.8
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 🔍
Exploit
Klasa: Ujawnienie informacjiCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Dostęp: Publiczny
Status: Proof-of-Concept
Pobierać: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Nessus ID: 15484
Nessus Imię: ProFTPD Login Timing Account Name Enumeration
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Exploit-DB: 🔍
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: PoprawkaStatus: 🔍
0-dniowy czas: 🔍
Wykorzystaj czas opóźnienia: 🔍
Poprawka: proftpd.org
Oś czasu
2004-10-14 🔍2004-10-14 🔍
2004-10-15 🔍
2004-10-15 🔍
2004-10-15 🔍
2004-10-15 🔍
2004-10-15 🔍
2004-10-15 🔍
2004-10-15 🔍
2004-10-17 🔍
2004-10-18 🔍
2004-10-28 🔍
2005-02-20 🔍
2021-03-10 🔍
Źródła
Raport: security.lss.hrBadacz: Leon Juranic
Organizacja: LSS Security Team
Status: Nie określono
CVE: CVE-2004-1602 (🔍)
X-Force: 17724 - ProFTPD could allow an attacker to obtain valid accounts, Medium Risk
SecurityTracker: 1011687
Vulnerability Center: 5674 - ProFTPd <= 1.2.10 Allows Brute-Forcing of Usernames, Medium
SecuriTeam: securiteam.com
SecurityFocus: 11430 - ProFTPD Authentication Delay Username Enumeration Vulnerability
Secunia: 12836 - ProFTPD User Enumeration Weakness, Not Critical
OSVDB: 10758 - ProFTPD Login Timing Account Name Enumeration
scip Labs: https://www.scip.ch/en/?labs.20161013
Inne: 🔍
Zobacz także: 🔍
Wpis
Stworzono: 2004-10-18 11:36Aktualizacje: 2021-03-10 07:21
Zmiany: 2004-10-18 11:36 (96), 2019-06-29 16:43 (2), 2021-03-10 07:21 (2)
Kompletny: 🔍
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.