Telecommunication Software SAMwin Contact Center Suite 5.1 Database SAMwinLIBVB.dll getCurrentDBVersion Injecção SQL
| CVSS Meta Temp score | Preço de exploração actual (≈) | Nota de Interesse CTI |
|---|---|---|
| 5.6 | $0-$5k | 0.06 |
Uma vulnerabilidade foi encontrada em Telecommunication Software SAMwin Contact Center Suite 5.1. Foi declarada como crítico. Afectado é a função getCurrentDBVersion na biblioteca SAMwinLIBVB.dll do componente Database Handler. A manipulação com uma entrada desconhecida leva a Injecção SQL. A definição de CWE para a vulnerabilidade é CWE-89. O aconselhamento é partilhado para download em modzero.ch. A divulgação pública foi coordenada em cooperação com o vendedor.
A vulnerabilidade é identificada como CVE-2013-10003. O ataque pode ser iniciado a partir da rede. Os detalhes técnicos estão disponíveis. A vulnerabilidade não é bem conhecida. Além disso, há uma exploração disponível. A exploração foi divulgada ao público e pode ser utilizada. O projecto MITRE ATT&CK utiliza a técnica de ataque T1505 para esta edição. O aconselhamento aponta para o seguinte:
Due to the absence of any middleware sanitizing and verifying input data send by the SAMwin Agent, arbitrary SQL commands can be executed from the username field of the SAMwin Agent login mask. When a SAMwin Agent user logs in, the username and password will be compared against values that are stored in the database. By terminating the username with a single quote character, any person with access to the SAMwin Agent login form can execute malicious SQL statements. For example, the following string can be used as username to verify the SQL command execution on the SQL server.
É declarado como proof-of-concept. A exploração é partilhada para download em modzero.ch. A vulnerabilidade foi tratada como uma exploração não pública de dia zero durante pelo menos 174 dias. Esperamos que o dia 0 tenha valido aproximadamente $0-$5k.
A actualização para a versão 6.2 é capaz de abordar esta questão. Recomenda-se a actualização do componente afectado.
Afetado
- Telecommunication Software SAMwin Contact Center Suite 5.1
- Telecommunication Software SAMwin Agent 5.01.19.06
Produto
Fabricante
Nome
Versão
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 6.5VulDB Meta Temp score: 5.6
VulDB Pontuação Base: 6.5
VulDB Pontuação da Tempestade: 5.6
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação da Tempestade: 🔍
VulDB Fiabilidade: 🔍
Exploração
Classe: Injecção SQLCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Aceda a: Público
Estado: Proof-of-Concept
Autor: Tobias Ospelt/Max Moser
Linguagem de programação: 🔍
Descarregar: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência dos preços: 🔍
Estimativa de preço actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de Ameaças
Interesse: 🔍Actores Activos: 🔍
Grupos APT activos: 🔍
Contra-medidas
Recomendação: ActualizaçãoEstado: 🔍
Tempo 0-Dia: 🔍
Tempo de atraso de exploração: 🔍
Actualização: SAMwin Contact Center Suite 6.2
Linha do tempo
20/09/2013 🔍24/09/2013 🔍
13/03/2014 🔍
13/03/2014 🔍
03/04/2014 🔍
24/05/2022 🔍
Fontes
Aconselhamento: MZ-13-06Pessoa: Tobias Ospelt, Max Moser
Empresa: modzero AG
Estado: Não definido
Coordenado: 🔍
CVE: CVE-2013-10003 (🔍)
Veja também: 🔍
Entrada
Criado em: 03/04/2014 17h21Actualizado em: 24/05/2022 15h14
Ajustamentos: 03/04/2014 17h21 (57), 31/03/2019 22h05 (1), 24/05/2022 15h14 (3)
Completo: 🔍
Cache ID: 18:7DB:103
Ainda sem comentários. Idiomas: pt + en.
Por favor inicie sessão para comentar.