WSO2 API Manager Carbon Management Console Pedido Session Hijacking Autenticação fraca
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 7.5 | $0-$5k | 0.00 |
Sumário
Foi identificada uma vulnerabilidade classificada como crítico em WSO2 API Manager, API Manager Analytics, API Microgateway, Data Analytics Server, Enterprise Integrator, IS as Key Manager, Identity Server, Identity Server Analytics and IoT Server. Afetado é uma função desconhecida do componente Carbon Management Console. O tratamento no contexto de Pedido leva a Autenticação fraca (Session Hijacking). Esta vulnerabilidade é conhecida como CVE-2020-24705. É possível lançar o ataque remotamente. Não existe exploit disponível.
Detalhes
Foi identificada uma vulnerabilidade classificada como crítico em WSO2 API Manager, API Manager Analytics, API Microgateway, Data Analytics Server, Enterprise Integrator, IS as Key Manager, Identity Server, Identity Server Analytics and IoT Server. Afetado é uma função desconhecida do componente Carbon Management Console. O tratamento no contexto de Pedido leva a Autenticação fraca (Session Hijacking). Usar CWE para declarar o problema leva a CWE-287. O problema foi divulgado 27/08/2020.
Esta vulnerabilidade é conhecida como CVE-2020-24705. A atribuição do CVE ocorreu em 27/08/2020. É possível lançar o ataque remotamente. Não há detalhes técnicos disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Não existe exploit disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento.
Está declarado como não definido. Como 0 dia, o preço estimado do subsolo foi de cerca de $0-$5k.
Produto
Tipo
Fabricante
Nome
- API Manager
- API Manager Analytics
- API Microgateway
- Data Analytics Server
- Enterprise Integrator
- Identity Server
- Identity Server Analytics
- IoT Server
- IS as Key Manager
Licença
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 7.6VulDB Meta Pontuação Temporária: 7.6
VulDB Pontuação Base: 6.3
VulDB Pontuação Temporária: 6.3
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 8.8
NVD Vetor: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
Exploração
Nome: Session HijackingClasse: Autenticação fraca / Session Hijacking
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: nenhuma medida conhecidaEstado: 🔍
Tempo 0-dia: 🔍
Linha do tempo
27/08/2020 🔍27/08/2020 🔍
28/08/2020 🔍
11/11/2020 🔍
Fontes
Estado: Não definidoCVE: CVE-2020-24705 (🔍)
GCVE (CVE): GCVE-0-2020-24705
GCVE (VulDB): GCVE-100-160385
Veja também: 🔍
Entrada
Criado: 28/08/2020 08h37Atualizado: 11/11/2020 17h18
Ajustamentos: 28/08/2020 08h37 (38), 28/08/2020 08h42 (12), 11/11/2020 17h18 (1)
Completo: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.