Oracle MySQL Server até 5.7.24/8.0.13 Partition Elevação de Privilégios

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
4.8	$0-$5k	0.00

Sumárioinformação

Uma vulnerabilidade classificada como crítico foi encontrada em Oracle MySQL Server até 5.7.24/8.0.13. Afectado é uma função desconhecida do componente Partition. A manipulação resulta em Elevação de Privilégios. A vulnerabilidade é identificada como CVE-2019-2528. O ataque pode ser iniciado a partir da rede. Não há nenhuma exploração disponível. É aconselhável atualizar o componente afetado.

Detalhesinformação

Uma vulnerabilidade classificada como crítico foi encontrada em Oracle MySQL Server até 5.7.24/8.0.13. Afectado é uma função desconhecida do componente Partition. A manipulação resulta em Elevação de Privilégios. O uso do CWE para declarar o problema aponta para CWE-284. A falha foi descoberta em 15/01/2019. Esta vulnerabilidade foi publicada 16/01/2019 com Oracle como Oracle Critical Patch Update Advisory - January 2019 como Aconselhamento (Site). O aconselhamento é partilhado para download em oracle.com.

A vulnerabilidade é identificada como CVE-2019-2528. A atribuição do CVE aconteceu em 14/12/2018. O ataque pode ser iniciado a partir da rede. Não há detalhes técnicos disponíveis. A vulnerabilidade não é bem conhecida. Não há nenhuma exploração disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. O projeto MITRE ATT&CK define a técnica de ataque como T1068.

Encontra-se declarado como não definido. Como 0-day, o valor estimado no mercado ilegal era por volta de $5k-$25k. O scanner de vulnerabilidade Nessus fornece um plugin com o ID 121346 (Ubuntu 16.04 LTS / 18.04 LTS / 18.10 : mysql-5.7 vulnerabilities (USN-3867-1)), que ajuda a determinar a existência da falha num ambiente alvo. É atribuído à família Ubuntu Local Security Checks. O plugin está a funcionar no contexto do tipo l. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 20103 (Oracle MySQL January 2019 Critical Patch Update (CPUJAN2019)).

É aconselhável atualizar o componente afetado.

A vulnerabilidade consta ainda em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 106627) e Tenable (121346).

Produtoinformação

Tipo

• Database Software

Fabricante

• Oracle

Nome

• MySQL Server

Versão

• 5.7.0
• 5.7.1
• 5.7.2
• 5.7.3
• 5.7.4
• 5.7.5
• 5.7.6
• 5.7.7
• 5.7.8
• 5.7.9
• 5.7.10
• 5.7.11
• 5.7.12
• 5.7.13
• 5.7.14
• 5.7.15
• 5.7.16
• 5.7.17
• 5.7.18
• 5.7.19
• 5.7.20
• 5.7.21
• 5.7.22
• 5.7.23
• 5.7.24
• 8.0.0
• 8.0.1
• 8.0.2
• 8.0.3
• 8.0.4
• 8.0.5
• 8.0.6
• 8.0.7
• 8.0.8
• 8.0.9
• 8.0.10
• 8.0.11
• 8.0.12
• 8.0.13

Licença

• código aberto

Site

• Fabricante: https://www.oracle.com

CPE 2.3informação

• 🔍
• 🔍
• 🔍

CPE 2.2informação

• 🔍
• 🔍
• 🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 4.9
VulDB Meta Pontuação Temporária: 4.8

VulDB Pontuação Base: 4.9
VulDB Pontuação Temporária: 4.7
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

Fabricante Pontuação Base (Oracle): 4.9
Fabricante Vector (Oracle): 🔍

NVD Pontuação Base: 4.9
NVD Vetor: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Elevação de Privilégios
CWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 121346
Nessus Nome: Ubuntu 16.04 LTS / 18.04 LTS / 18.10 : mysql-5.7 vulnerabilities (USN-3867-1)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍

Linha do tempoinformação

14/12/2018 🔍
15/01/2019 +32 dias 🔍
15/01/2019 +0 dias 🔍
16/01/2019 +0 dias 🔍
16/01/2019 +0 dias 🔍
16/01/2019 +0 dias 🔍
16/01/2019 +0 dias 🔍
24/01/2019 +8 dias 🔍
28/06/2023 +1616 dias 🔍

Fontesinformação

Fabricante: oracle.com

Aconselhamento: Oracle Critical Patch Update Advisory - January 2019
Empresa: Oracle
Estado: Confirmado
Confirmação: 🔍

CVE: CVE-2019-2528 (🔍)
GCVE (CVE): GCVE-0-2019-2528
GCVE (VulDB): GCVE-100-129644
SecurityFocus: 106627 - Oracle MySQL Server Multiple Security Vulnerabilities

Veja também: 🔍

Entradainformação

Criado: 16/01/2019 11h14
Atualizado: 28/06/2023 11h36
Ajustamentos: 16/01/2019 11h14 (83), 30/04/2020 18h20 (6), 28/06/2023 11h36 (4)
Completo: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Discussão

Do you want to use VulDB in your project?

Use the official API to access entries easily!