Telecommunication Software SAMwin Contact Center Suite 5.1 Database SAMwinLIBVB.dll getCurrentDBVersion Injeção SQL
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 5.6 | $0-$5k | 0.69 |
Sumário
Uma vulnerabilidade, que foi classificada como crítico, foi encontrada em Telecommunication Software SAMwin Contact Center Suite 5.1. Afectado é a função getCurrentDBVersion na biblioteca SAMwinLIBVB.dll do componente Database Handler. O tratamento leva a Injeção SQL.
A vulnerabilidade é identificada como CVE-2013-10003. O ataque pode ser levado a cabo através da rede. Além disso, há uma exploração disponível.
Recomenda-se a atualização do componente afetado.
Detalhes
Uma vulnerabilidade, que foi classificada como crítico, foi encontrada em Telecommunication Software SAMwin Contact Center Suite 5.1. Afectado é a função getCurrentDBVersion na biblioteca SAMwinLIBVB.dll do componente Database Handler. O tratamento leva a Injeção SQL. Usar a CWE para declarar o problema leva à CWE-89. O problema foi divulgado 13/03/2014 por Tobias Ospelt and Max Moser com modzero AG como MZ-13-06 como Aconselhamento (Site). O aconselhamento é partilhado para download em modzero.ch. A divulgação pública foi coordenada com o vendedor.
A vulnerabilidade é identificada como CVE-2013-10003. O ataque pode ser levado a cabo através da rede. Os detalhes técnicos estão disponíveis. A vulnerabilidade não é bem conhecida. Além disso, há uma exploração disponível. A exploração foi divulgada ao público e pode ser utilizada. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O projeto MITRE ATT&CK identifica a técnica de ataque como T1505. O aconselhamento aponta para o seguinte:
Due to the absence of any middleware sanitizing and verifying input data send by the SAMwin Agent, arbitrary SQL commands can be executed from the username field of the SAMwin Agent login mask. When a SAMwin Agent user logs in, the username and password will be compared against values that are stored in the database. By terminating the username with a single quote character, any person with access to the SAMwin Agent login form can execute malicious SQL statements. For example, the following string can be used as username to verify the SQL command execution on the SQL server.
Está declarado como prova de conceito. A exploração está disponível em modzero.ch. A falha permaneceu como um exploit zero-day não divulgado durante pelo menos 174 dias. Como 0-day, o valor estimado no submundo era aproximadamente $0-$5k. .
Atualizar para a versão 6.2 pode resolver este problema. Recomenda-se a atualização do componente afetado.
Afetado
- Telecommunication Software SAMwin Contact Center Suite 5.1
- Telecommunication Software SAMwin Agent 5.01.19.06
Produto
Fabricante
Nome
Versão
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 6.5VulDB Meta Pontuação Temporária: 5.6
VulDB Pontuação Base: 6.5
VulDB Pontuação Temporária: 5.6
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
Exploração
Classe: Injeção SQLCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Autor: Tobias Ospelt/Max Moser
Linguagem de programação: 🔍
Descarregar: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo 0-dia: 🔍
Tempo de atraso de exploração: 🔍
Atualização: SAMwin Contact Center Suite 6.2
Linha do tempo
20/09/2013 🔍24/09/2013 🔍
13/03/2014 🔍
13/03/2014 🔍
03/04/2014 🔍
24/05/2022 🔍
Fontes
Aconselhamento: MZ-13-06Pessoa: Tobias Ospelt, Max Moser
Empresa: modzero AG
Estado: Não definido
Coordenado: 🔍
CVE: CVE-2013-10003 (🔍)
GCVE (CVE): GCVE-0-2013-10003
GCVE (VulDB): GCVE-100-12789
Veja também: 🔍
Entrada
Criado: 03/04/2014 17h21Atualizado: 24/05/2022 15h14
Ajustamentos: 03/04/2014 17h21 (57), 31/03/2019 22h05 (1), 24/05/2022 15h14 (3)
Completo: 🔍
Cache ID: 216:B1E:103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.