Cisco WebEx Meetings Server 1.5/1.5.1.6/1.5.1.131 Enterprise License Manager Web Portal Cleartext Password Elevação de Privilégios
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 3.8 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade foi encontrada em Cisco WebEx Meetings Server 1.5/1.5.1.6/1.5.1.131. Foi declarada como problemático. O impacto ocorre em uma função desconhecida no componente Enterprise License Manager Web Portal. A manipulação com uma entrada desconhecida leva a Elevação de Privilégios. Esta vulnerabilidade é referenciada como CVE-2013-6687. Adicionalmente, há um exploit disponível. Recomenda-se a atualização do componente afetado.
Detalhes
Uma vulnerabilidade foi encontrada em Cisco WebEx Meetings Server 1.5/1.5.1.6/1.5.1.131. Foi declarada como problemático. O impacto ocorre em uma função desconhecida no componente Enterprise License Manager Web Portal. A manipulação com uma entrada desconhecida leva a Elevação de Privilégios. Usar a CWE para declarar o problema leva à CWE-255. A fraqueza foi publicada 16/01/2014 como Cisco WebEx Meetings Server Enterprise License Manager Administrative Password Disclosure Vulnerability como Aconselhamento (Site). O aviso pode ser baixado em tools.cisco.com. O vendedor cooperou na coordenação do lançamento público.
Esta vulnerabilidade é referenciada como CVE-2013-6687. A designação do CVE foi realizada em 07/11/2013. Não existem detalhes técnicos acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Adicionalmente, há um exploit disponível. O exploit foi tornado público e pode ser usado. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. A técnica de ataque utilizada por esta edição é T1552 de acordo com MITRE ATT&CK. O aviso aponta:
A vulnerability in the Cisco WebEx Meetings Server Enterprise License Manager web portal could allow an authenticated, remote attacker to view the administrative password for Cisco WebEx Meetings Server in clear text. The vulnerability is due to the inclusion of the Cisco WebEx Meetings Server password in the source code of the Cisco Enterprise License Manager web page. An attacker could exploit this vulnerability by viewing the source code of a vulnerable web page in a browser.
É declarado como prova de conceito. Como 0-day, o valor estimado no submundo era aproximadamente $5k-$25k.
Recomenda-se a atualização do componente afetado.
A vulnerabilidade também está documentada em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 64980), X-Force (90499), Secunia (SA56502) e SecurityTracker (ID 1029642).
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.cisco.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 4.3VulDB Meta Pontuação Temporária: 3.8
VulDB Pontuação Base: 4.3
VulDB Pontuação Temporária: 3.8
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Nome: Cleartext PasswordClasse: Elevação de Privilégios / Cleartext Password
CWE: CWE-255
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Tempo de atraso de exploração: 🔍
Linha do tempo
07/11/2013 🔍16/01/2014 🔍
16/01/2014 🔍
16/01/2014 🔍
16/01/2014 🔍
16/01/2014 🔍
16/01/2014 🔍
17/01/2014 🔍
30/03/2019 🔍
Fontes
Fabricante: cisco.comAconselhamento: Cisco WebEx Meetings Server Enterprise License Manager Administrative Password Disclosure Vulnerability
Estado: Confirmado
Coordenado: 🔍
CVE: CVE-2013-6687 (🔍)
GCVE (CVE): GCVE-0-2013-6687
GCVE (VulDB): GCVE-100-11991
X-Force: 90499 - Cisco WebEx Meetings Server Enterprise License Manager information disclosure, Medium Risk
SecurityFocus: 64980 - Cisco WebEx Meetings Server Administrative Password Disclosure Vulnerability
Secunia: 56502 - Cisco WebEx Meetings Server License Manager Administrative Password Disclosure Security Is, Less Critical
OSVDB: 102169
SecurityTracker: 1029642
Vários: 🔍
Entrada
Criado: 17/01/2014 11h05Atualizado: 30/03/2019 13h46
Ajustamentos: 17/01/2014 11h05 (52), 30/03/2019 13h46 (23)
Completo: 🔍
Editor:
Cache ID: 216:DDC:103
Be aware that VulDB is the high quality source for vulnerability data.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.