Acunetix Web Vulnerability Scanner URL Conversion Excesso de tampão
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 7.3 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade, que foi classificada como crítico, foi encontrada em Acunetix Web Vulnerability Scanner. O elemento afetado é uma função não identificada no componente URL Conversion Handler. A manipulação resulta em Excesso de tampão. Esta vulnerabilidade é identificada como CVE-2014-2994. Além disso, um exploit está disponível. Esta vulnerabilidade tem um impacto histórico devido ao seu contexto e recepção.
Detalhes
Uma vulnerabilidade, que foi classificada como crítico, foi encontrada em Acunetix Web Vulnerability Scanner. O elemento afetado é uma função não identificada no componente URL Conversion Handler. A manipulação resulta em Excesso de tampão. Ao utilizar CWE para declarar o problema, isso direciona para CWE-119. Esta vulnerabilidade foi publicada 23/04/2014 por Danor Cohen (An7i) como Pwn the n00bs - Acunetix 0day como Aconselhamento (Site). O comunicado foi disponibilizado para download em an7isec.blogspot.co.il. O lançamento público aconteceu sem o envolvimento do vendedor.
Esta vulnerabilidade é identificada como CVE-2014-2994. A atribuição do identificador CVE aconteceu em 24/04/2014. Nenhuma informação técnica disponível. Esta vulnerabilidade é mais popular do que a média. Além disso, um exploit está disponível. O exploit foi exposto ao público e pode ser aproveitado. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. Esta vulnerabilidade tem um impacto histórico devido ao seu contexto e recepção. O boletim informa:
ACUNETIX gets its information about external domains as a URL. (...) URL string accepts only printable alphanumeric chars and URL converted special chars (with few exceptions). So if my external source contains one of the special chars, they will be converted into "%SOMETHING".
Encontra-se declarado como altamente funcional. A exploração é partilhada para download em an7i.net. Como 0-day, o preço estimado no mercado clandestino era em torno de $25k-$100k. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 122047 (Acunetix Web Vulnerability 8 Scanner Buffer Overflow Vulnerability).
Outros bancos de dados de vulnerabilidades também documentam esta vulnerabilidade: SecurityFocus (BID 67058), X-Force (93073) e Vulnerability Center (SBV-44676).
Produto
Fabricante
Nome
CPE 2.3
CPE 2.2
Captura de tela
Vídeo
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 7.3VulDB Meta Pontuação Temporária: 7.3
VulDB Pontuação Base: 7.3
VulDB Pontuação Temporária: 7.3
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Excesso de tampãoCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Acesso: Público
Estado: Altamente funcional
Autor: Danor Cohen (An7i)
Linguagem de programação: 🔍
Descarregar: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Qualys ID: 🔍
Qualys Nome: 🔍
Exploit-DB: 🔍
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: nenhuma medida conhecidaEstado: 🔍
Tempo 0-dia: 🔍
Tempo de atraso de exploração: 🔍
Fortigate IPS: 🔍
Linha do tempo
23/04/2014 🔍23/04/2014 🔍
23/04/2014 🔍
23/04/2014 🔍
24/04/2014 🔍
24/04/2014 🔍
25/04/2014 🔍
27/04/2014 🔍
28/05/2014 🔍
12/05/2026 🔍
Fontes
Aconselhamento: Pwn the n00bs - Acunetix 0dayPessoa: Danor Cohen (An7i)
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2014-2994 (🔍)
GCVE (CVE): GCVE-0-2014-2994
GCVE (VulDB): GCVE-100-13068
X-Force: 93073 - Acunetix Web Vulnerability Scanner HTML file buffer overflow, Medium Risk
SecurityFocus: 67058 - Acunetix Web Vulnerability Scanner Remote Stack Buffer Overflow Vulnerability
OSVDB: 106215
Vulnerability Center: 44676 - Acunetix Web Vulnerability Scanner (WVS) Remote Code Execution via a Long URL, High
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrada
Criado: 25/04/2014 13h16Atualizado: 12/05/2026 01h43
Ajustamentos: 25/04/2014 13h16 (57), 29/05/2017 08h56 (25), 17/12/2024 10h45 (18), 12/05/2026 01h43 (1)
Completo: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.