| CVSS Meta Temp score | Preço de exploração actual (≈) | Nota de Interesse CTI |
|---|---|---|
| 4.2 | $0-$5k | 0.00 |
Uma vulnerabilidade, que foi classificada como problemático, foi encontrada em OpenX até 2.8.11. Afectado é uma função desconhecida. A manipulação com uma entrada desconhecida leva a Falsificação de Pedido Cross Site. Usar a CWE para declarar o problema leva à CWE-352. O aconselhamento é partilhado para download em seclists.org.
A vulnerabilidade é identificada como CVE-2013-5954. A atribuição do CVE aconteceu em 27/09/2013. O ataque pode ser iniciado a partir da rede. Não há detalhes técnicos disponíveis. A vulnerabilidade não é bem conhecida. Além disso, há uma exploração disponível. A exploração foi divulgada ao público e pode ser utilizada. O aconselhamento aponta para o seguinte:
(…) allows remote attackers to hijack the authentication of administrators for requests that delete (1) users, (2) advertisers, (3) banners, (4) campaigns, (5) channels, (6) websites or (7) zones via delete actions.
É declarado como altamente funcional. A exploração é partilhada para download em packetstormsecurity.com. Como 0 dia, o preço estimado do subsolo foi de cerca de $0-$5k. O scanner de vulnerabilidade Nessus fornece um plugin com o ID 76253 (Revive Adserver < 3.0.5 Multiple CSRF Vulnerabilities), que ajuda a determinar a existência da falha num ambiente alvo. É atribuído à família CGI abuses.
A vulnerabilidade está também documentada noutras bases de dados de vulnerabilidade: SecurityFocus (BID 66251), X-Force (91889), Vulnerability Center (SBV-47898) e Tenable (76253).
Produto
Nome
Versão
Licença
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 4.3VulDB Meta Temp score: 4.2
VulDB Pontuação Base: 4.3
VulDB Pontuação da Tempestade: 4.2
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação da Tempestade: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Falsificação de Pedido Cross SiteCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Aceda a: Público
Estado: Altamente funcional
Autor: Mahmoud Ghorbanzadeh
Descarregar: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência dos preços: 🔍
Estimativa de preço actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 76253
Nessus Nome: Revive Adserver < 3.0.5 Multiple CSRF Vulnerabilities
Nessus Arquivo: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Inteligência de Ameaças
Interesse: 🔍Actores Activos: 🔍
Grupos APT activos: 🔍
Contra-medidas
Recomendação: nenhuma medida conhecidaEstado: 🔍
Tempo 0-Dia: 🔍
Tempo de atraso de exploração: 🔍
Linha do tempo
27/09/2013 🔍15/03/2014 🔍
15/03/2014 🔍
15/03/2014 🔍
15/03/2014 🔍
20/03/2014 🔍
25/04/2014 🔍
26/06/2014 🔍
04/01/2015 🔍
16/06/2021 🔍
Fontes
Aconselhamento: seclists.orgPessoa: Mahmoud Ghorbanzadeh
Estado: Não definido
Confirmado: 🔍
CVE: CVE-2013-5954 (🔍)
X-Force: 91889 - OpenX multiple scripts cross-site request forgery, Medium Risk
Vulnerability Center: 47898 - OpenX 2.8.11 and earlier Remote Cross-site Request Forgery, Medium
SecurityFocus: 66251 - OpenX CVE-2013-5954 Multiple Cross Site Request Forgery Vulnerabilities
scip Labs: https://www.scip.ch/en/?labs.20161013
Veja também: 🔍
Entrada
Criado em: 20/03/2014 12h19Actualizado em: 16/06/2021 08h27
Ajustamentos: 20/03/2014 12h19 (69), 17/06/2017 07h27 (4), 16/06/2021 08h27 (3)
Completo: 🔍
Ainda sem comentários. Idiomas: pt + en.
Por favor inicie sessão para comentar.