| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade foi encontrada em cURL and libcURL até 7.31.1 e classificada como crítico. O elemento afetado é uma função não identificada no componente Cookie Handler. A manipulação resulta em Encriptação fraca. Esta vulnerabilidade é identificada como CVE-2014-3620. Não existe nenhum exploit disponível. Esta vulnerabilidade tem um impacto histórico devido ao seu contexto e recepção. É recomendado que o componente afetado seja atualizado.
Detalhes
Uma vulnerabilidade foi encontrada em cURL and libcURL até 7.31.1 e classificada como crítico. O elemento afetado é uma função não identificada no componente Cookie Handler. A manipulação resulta em Encriptação fraca. A definição de CWE para a vulnerabilidade é CWE-310. Esta vulnerabilidade foi publicada 10/09/2014 por Tim Ruehsen como libcurl cookie leak for TLDs como Aconselhamento (Site). O comunicado foi disponibilizado para download em curl.haxx.se.
Esta vulnerabilidade é identificada como CVE-2014-3620. A atribuição do identificador CVE aconteceu em 14/05/2014. Nenhuma informação técnica disponível. Esta vulnerabilidade apresenta popularidade inferior à média. Não existe nenhum exploit disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. Esta vulnerabilidade é atribuída a T1600 pelo projecto MITRE ATT&CK. Esta vulnerabilidade tem um impacto histórico devido ao seu contexto e recepção. O boletim informa:
libcurl wrongly allows cookies to be set for Top Level Domains (TLDs), thus making them apply broader than cookies are allowed. This can allow arbitrary sites to set cookies that then would get sent to a different and unrelated site or domain.
A vulnerabilidade foi tratada como uma exploração não pública de dia zero durante pelo menos 26 dias. Esperamos que o dia 0 tenha valido aproximadamente $0-$5k. O scanner de vulnerabilidades Nessus fornece um plugin com o ID 78350. Pertence à família Amazon Linux Local Security Checks. O plugin opera no contexto do tipo l. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 350322 (Amazon Linux Security Advisory for curl: ALAS-2014-407).
Fazer upgrade para a versão 7.38.0 pode mitigar este problema. A versão mais recente está pronta para download em curl.haxx.se. É recomendado que o componente afetado seja atualizado.
Outros bancos de dados de vulnerabilidades também documentam esta vulnerabilidade: SecurityFocus (BID 69742), X-Force (95924), Vulnerability Center (SBV-58216) e Tenable (78350).
Produto
Tipo
Nome
Versão
Licença
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 5.3VulDB Meta Pontuação Temporária: 4.6
VulDB Pontuação Base: 5.3
VulDB Pontuação Temporária: 4.6
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Encriptação fracaCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não provado
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 78350
Nessus Nome: Amazon Linux AMI : curl (ALAS-2014-407)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍
OpenVAS ID: 703022
OpenVAS Nome: Debian Security Advisory DSA 3022-1 (curl - security update)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Atualização: cURL/libcURL 7.38.0
Linha do tempo
14/05/2014 🔍15/08/2014 🔍
10/09/2014 🔍
10/09/2014 🔍
10/09/2014 🔍
12/09/2014 🔍
12/10/2014 🔍
18/11/2014 🔍
18/11/2014 🔍
14/04/2016 🔍
04/02/2019 🔍
Fontes
Aconselhamento: libcurl cookie leak for TLDsPessoa: Tim Ruehsen
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2014-3620 (🔍)
GCVE (CVE): GCVE-0-2014-3620
GCVE (VulDB): GCVE-100-67528
OVAL: 🔍
X-Force: 95924 - cURL/libcURL cookies security bypass, Medium Risk
SecurityFocus: 69742 - cURL/libcURL CVE-2014-3620 Cookies Handling Remote Security Bypass Vulnerability
Vulnerability Center: 58216 - cURL 7.1 through 7.37.1 Remote Bypass Restrictions due to Cookies Set for Top Level Domains, Medium
Vários: 🔍
Veja também: 🔍
Entrada
Criado: 12/09/2014 10h31Atualizado: 04/02/2019 16h23
Ajustamentos: 12/09/2014 10h31 (88), 04/02/2019 16h23 (1)
Completo: 🔍
Cache ID: 216:56B:103
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.