| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 3.3 | $0-$5k | 0.00 |
Sumário
Detectou-se uma vulnerabilidade classificada como problemático em Plex Media Server 0.9.9.10. A função afetada é desconhecida do componente App Listing Handler. O tratamento leva a Encriptação fraca. O ataque pode ser levado a cabo através da rede. Nenhum exploit está disponível.
Detalhes
Detectou-se uma vulnerabilidade classificada como problemático em Plex Media Server 0.9.9.10. A função afetada é desconhecida do componente App Listing Handler. O tratamento leva a Encriptação fraca. Usar a CWE para declarar o problema leva à CWE-311. O problema foi divulgado 06/02/2014 por Stefan Viehböck com SEC Consult Vulnerability Lab como SEC Consult Vulnerability Lab Security Advisory 20140411-0 como Aconselhamento (Site). O boletim está compartilhado para download em sec-consult.com.
O ataque pode ser levado a cabo através da rede. Detalhes técnicos não estão disponíveis. O ataque exige um nível de complexidade elevado. Considera-se difícil explorar esta vulnerabilidade. Esta vulnerabilidade tem popularidade abaixo da média. Nenhum exploit está disponível. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O projecto MITRE ATT&CK declara a técnica de ataque como T1600. A recomendação ressalta:
The Plex App Store fetches App listings and App code via HTTP. This enables active attackers (MITM) to run code in the context of the Plex Media Server. The Plex "Remote" functionality uses HTTP as well. This enables passive attackers to gain access to the session token in order to access the Plex Media Server web interface.
Como 0-day, o valor estimado no submundo era aproximadamente $0-$5k. O aviso ressalta:
No proof of concept needed. The Plex App store is located at: http://nine.plugins.plexapp.com
O comunicado contém a seguinte observação:
Vendor confirms that certificate has been revoked. No other fixes have been implemented.
Esta vulnerabilidade também foi registrada em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 66783), X-Force (92765) e Secunia (SA57882).
Produto
Fabricante
Nome
Versão
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 3.7VulDB Meta Pontuação Temporária: 3.3
VulDB Pontuação Base: 3.7
VulDB Pontuação Temporária: 3.3
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
Exploração
Classe: Encriptação fracaCWE: CWE-311 / CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não provado
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: nenhuma medida conhecidaEstado: 🔍
Tempo 0-dia: 🔍
Linha do tempo
06/02/2014 🔍06/02/2014 🔍
09/02/2014 🔍
10/02/2014 🔍
25/04/2014 🔍
05/05/2014 🔍
09/08/2017 🔍
Fontes
Aconselhamento: SEC Consult Vulnerability Lab Security Advisory 20140411-0Pessoa: Stefan Viehböck
Empresa: SEC Consult Vulnerability Lab
Estado: Não definido
GCVE (VulDB): GCVE-100-13137
X-Force: 92765 - Plex Media Server App listings unauthorized access, Medium Risk
SecurityFocus: 66783 - Plex Media Server Multiple Security Vulnerabilities
Secunia: 57882 - Plex Media Server Multiple Vulnerabilities, Less Critical
Veja também: 🔍
Entrada
Criado: 05/05/2014 10h20Atualizado: 09/08/2017 14h08
Ajustamentos: 05/05/2014 10h20 (48), 09/08/2017 14h08 (12)
Completo: 🔍
Cache ID: 216:20B:103
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.