Snow 2.0.0 system/role/list dataScope Injeção SQL

CVSS Meta Pontuação TemporáriaPreço atual do exploit (≈)Nota de Interesse CTI
6.2$0-$5k0.00

Sumárioinformação

Uma vulnerabilidade classificada como crítico foi encontrada em Snow 2.0.0. O elemento afetado é uma função não identificada no componente system/role/list. A manipulação do argumento dataScope com uma entrada desconhecida leva a Injeção SQL. Esta vulnerabilidade é identificada como CVE-2024-25168. É possível lançar o ataque remotamente. Não existe nenhum exploit disponível.

Detalhesinformação

Uma vulnerabilidade classificada como crítico foi encontrada em Snow 2.0.0. O elemento afetado é uma função não identificada no componente system/role/list. A manipulação do argumento dataScope com uma entrada desconhecida leva a Injeção SQL. Usar CWE para declarar o problema leva a CWE-89. A fraqueza foi publicada. O comunicado foi disponibilizado para download em github.com.

Esta vulnerabilidade é identificada como CVE-2024-25168. A atribuição do identificador CVE aconteceu em 07/02/2024. É possível lançar o ataque remotamente. Há detalhes técnicos disponíveis. Esta vulnerabilidade apresenta popularidade inferior à média. Não existe nenhum exploit disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. O projeto MITRE ATT&CK declara a técnica de ataque como T1505.

É declarado como não definido.

Produtoinformação

Nome

Versão

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.3
VulDB Meta Pontuação Temporária: 6.2

VulDB Pontuação Base: 6.3
VulDB Pontuação Temporária: 6.1
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CNA Pontuação Base: 6.3
CNA Vetor: 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Injeção SQL
CWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: nenhuma medida conhecida
Estado: 🔍

Tempo 0-dia: 🔍

Linha do tempoinformação

07/02/2024 🔍
22/03/2024 +44 dias 🔍
22/03/2024 +0 dias 🔍
02/08/2024 +133 dias 🔍

Fontesinformação

Aconselhamento: github.com
Estado: Não definido

CVE: CVE-2024-25168 (🔍)
GCVE (CVE): GCVE-0-2024-25168
GCVE (VulDB): GCVE-100-257723

Entradainformação

Criado: 22/03/2024 14h48
Atualizado: 02/08/2024 18h10
Ajustamentos: 22/03/2024 14h48 (52), 02/08/2024 18h10 (11)
Completo: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Discussão

 Anonymous User
(+0)
há 2 anos
Good afternoon,
I don't find the cpe into NVD NIST dictionary and into your vuldb_cpe_dictionary. Could you please help me to identify the technology and the cpe too?
Best Regards,
TEAM CERT
Our NIST CPE Dictionary is created every 24 hours and this entry is new.
 Anonymous User
(+0)
há 2 anos
May be this the official cpe cpe:2.3:a:snowsoftware:snow_inventory_agent?
Best Regards,
TEAM CERT
Unfortunately not. This appears to be an entirely different vendor and product.
 Anonymous User
(+0)
há 2 anos
OK, Thanks!

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!