VDB-52583 · CVE-2009-2936 · ID 3865

Varnish até 2.0.6 Administration Interface Autenticação fraca ⚔ [Questionado]

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
6.0	$0-$5k	0.00

Sumárioinformação

Foi identificada uma vulnerabilidade classificada como problemático em Varnish até 2.0.6. O elemento afetado é uma função não identificada no componente Administration Interface. A manipulação com uma entrada desconhecida leva a Autenticação fraca. Esta vulnerabilidade é identificada como CVE-2009-2936. É possível lançar o ataque remotamente. Além disso, um exploit está disponível. No momento, a existência real desta vulnerabilidade ainda é questionada. Recomenda-se a actualização do componente afectado.

Detalhesinformação

Foi identificada uma vulnerabilidade classificada como problemático em Varnish até 2.0.6. O elemento afetado é uma função não identificada no componente Administration Interface. A manipulação com uma entrada desconhecida leva a Autenticação fraca. Usar CWE para declarar o problema leva a CWE-287. A fraqueza foi publicada 05/04/2010 (Site). O comunicado foi disponibilizado para download em varnish-cache.org.

Esta vulnerabilidade é identificada como CVE-2009-2936. A atribuição do identificador CVE aconteceu em 23/08/2009. É possível lançar o ataque remotamente. Nenhuma informação técnica disponível. Esta vulnerabilidade apresenta popularidade inferior à média. Além disso, um exploit está disponível. O exploit foi exposto ao público e pode ser aproveitado. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento.

É declarado como altamente funcional. A exploração é partilhada para download em packetstormsecurity.com. Como 0 dia, o preço estimado do subsolo foi de cerca de $0-$5k. No momento, a existência real desta vulnerabilidade ainda é questionada. O scanner de vulnerabilidades Nessus fornece um plugin com o ID 47446. Pertence à família Fedora Local Security Checks. O plugin opera no contexto do tipo l. Está utilizando a porta 0. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 118258 (Fedora Update for Varnish (FEDORA-2010-6719)).

Recomenda-se a actualização do componente afectado. Uma possível mitigação foi publicada 2 semanas após a divulgação da vulnerabilidade.

Outros bancos de dados de vulnerabilidades também documentam esta vulnerabilidade: Tenable (47446).

Produtoinformação

Nome

Varnish

Versão

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.3
VulDB Meta Pontuação Temporária: 6.0

VulDB Pontuação Base: 6.3
VulDB Pontuação Temporária: 6.0
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Autenticação fraca
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Público
Estado: Altamente funcional
Descarregar: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 47446
Nessus Nome: Fedora 13 : varnish-2.1.0-2.fc13 (2010-6719)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

MetaSploit ID: varnish_cli_file_read.rb
MetaSploit Nome: Varnish Cache CLI File Read
MetaSploit Ficheiro: 🔍

Exploit-DB: 🔍