OpenCycleCompass server-php api1/login.php Utilizador Injeção SQL
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 8.0 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade foi encontrada em OpenCycleCompass server-php. Foi declarada como crítico. O elemento afetado é uma função não identificada no arquivo api1/login.php. A manipulação do argumento Utilizador resulta em Injeção SQL. Esta vulnerabilidade é identificada como CVE-2015-10086. Existe a possibilidade de executar o ataque de forma remota. Não existe nenhum exploit disponível. Este produto está usando um sistema de rolling release para disponibilizar entregas contínuas. Assim, não existem informações sobre versões afetadas ou atualizadas. Recomenda-se instalar um patch para corrigir esta vulnerabilidade.
Detalhes
Uma vulnerabilidade foi encontrada em OpenCycleCompass server-php. Foi declarada como crítico. O elemento afetado é uma função não identificada no arquivo api1/login.php. A manipulação do argumento Utilizador resulta em Injeção SQL. Ao utilizar CWE para declarar o problema, isso direciona para CWE-89. Esta vulnerabilidade foi publicada 26/02/2023 como fa0d9bcf81c711a88172ad0d37a842f029ac3782. O comunicado foi disponibilizado para download em github.com.
Esta vulnerabilidade é identificada como CVE-2015-10086. Existe a possibilidade de executar o ataque de forma remota. Há detalhes técnicos disponíveis. Esta vulnerabilidade apresenta popularidade inferior à média. Não existe nenhum exploit disponível. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. Esta vulnerabilidade é atribuída a T1505 pelo projecto MITRE ATT&CK.
Encontra-se declarado como não definido. Como 0-day, o preço estimado no mercado clandestino era em torno de $0-$5k.
Este produto está usando um sistema de rolling release para disponibilizar entregas contínuas. Assim, não existem informações sobre versões afetadas ou atualizadas. O patch chama-se fa0d9bcf81c711a88172ad0d37a842f029ac3782. O patch pode ser baixado em github.com. Recomenda-se instalar um patch para corrigir esta vulnerabilidade. O parecer contém a seguinte observação:
login.php sql injection prevention
Produto
Tipo
Fabricante
Nome
Licença
Site
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 8.1VulDB Meta Pontuação Temporária: 8.0
VulDB Pontuação Base: 7.3
VulDB Pontuação Temporária: 7.0
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 9.8
NVD Vetor: 🔍
CNA Pontuação Base: 7.3
CNA Vetor (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Injeção SQLCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: PatchEstado: 🔍
Tempo 0-dia: 🔍
Patch: fa0d9bcf81c711a88172ad0d37a842f029ac3782
Linha do tempo
26/02/2023 🔍26/02/2023 🔍
26/02/2023 🔍
25/03/2023 🔍
Fontes
Produto: github.comAconselhamento: fa0d9bcf81c711a88172ad0d37a842f029ac3782
Estado: Confirmado
CVE: CVE-2015-10086 (🔍)
GCVE (CVE): GCVE-0-2015-10086
GCVE (VulDB): GCVE-100-221808
Entrada
Criado: 26/02/2023 16h59Atualizado: 25/03/2023 10h58
Ajustamentos: 26/02/2023 16h59 (44), 25/03/2023 10h52 (2), 25/03/2023 10h58 (28)
Completo: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.