Oracle MySQL Server até 5.5.39/5.6.20 Travessia de Diretório

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
5.7	$0-$5k	0.28

Sumárioinformação

Uma vulnerabilidade foi encontrada em Oracle MySQL Server até 5.5.39/5.6.20 e classificada como crítico. Afectado é uma função desconhecida. O tratamento leva a Travessia de Diretório. A vulnerabilidade é identificada como CVE-2014-6469. Não há nenhuma exploração disponível. É recomendado atualizar o componente afetado.

Detalhesinformação

Uma vulnerabilidade foi encontrada em Oracle MySQL Server até 5.5.39/5.6.20 e classificada como crítico. Afectado é uma função desconhecida. O tratamento leva a Travessia de Diretório. Declarar o problema usando CWE resulta em CWE-22. O problema foi divulgado 15/10/2014 com Oracle como Oracle Critical Patch Update Advisory - October 2014 como Aconselhamento (Site). O aconselhamento é partilhado para download em oracle.com.

A vulnerabilidade é identificada como CVE-2014-6469. A atribuição do CVE aconteceu em 17/09/2014. Não há detalhes técnicos disponíveis. A vulnerabilidade não é bem conhecida. Não há nenhuma exploração disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. O projecto MITRE ATT&CK declara a técnica de ataque como T1006.

Como 0-day, o preço estimado no mercado negro era cerca de $5k-$25k. O scanner de vulnerabilidade Nessus fornece um plugin com o ID 79299 (CentOS 5 : mysql55-mysql (CESA-2014:1859)), que ajuda a determinar a existência da falha num ambiente alvo. É atribuído à família CentOS Local Security Checks. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 124878 (Solaris 11.3 Support Repository Update (SRU) 7.6.0 Missing).

É recomendado atualizar o componente afetado.

A vulnerabilidade consta ainda em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 70446), X-Force (97176), Secunia (SA61579), Vulnerability Center (SBV-46515) e Tenable (79299).

Produtoinformação

Tipo

• Database Software

Fabricante

• Oracle

Nome

• MySQL Server

Versão

• 5.5.0
• 5.5.1
• 5.5.2
• 5.5.3
• 5.5.4
• 5.5.5
• 5.5.6
• 5.5.7
• 5.5.8
• 5.5.9
• 5.5.10
• 5.5.11
• 5.5.12
• 5.5.13
• 5.5.14
• 5.5.15
• 5.5.16
• 5.5.17
• 5.5.18
• 5.5.19
• 5.5.20
• 5.5.21
• 5.5.22
• 5.5.23
• 5.5.24
• 5.5.25
• 5.5.26
• 5.5.27
• 5.5.28
• 5.5.29
• 5.5.30
• 5.5.31
• 5.5.32
• 5.5.33
• 5.5.34
• 5.5.35
• 5.5.36
• 5.5.37
• 5.5.38
• 5.5.39
• 5.6.0
• 5.6.1
• 5.6.2
• 5.6.3
• 5.6.4
• 5.6.5
• 5.6.6
• 5.6.7
• 5.6.8
• 5.6.9
• 5.6.10
• 5.6.11
• 5.6.12
• 5.6.13
• 5.6.14
• 5.6.15
• 5.6.16
• 5.6.17
• 5.6.18
• 5.6.19
• 5.6.20

Licença

• código aberto

Site

• Fabricante: https://www.oracle.com

CPE 2.3informação

• 🔍
• 🔍
• 🔍

CPE 2.2informação

• 🔍
• 🔍
• 🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.5
VulDB Meta Pontuação Temporária: 5.7

VulDB Pontuação Base: 6.5
VulDB Pontuação Temporária: 5.7
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Travessia de Diretório
CWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não provado

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 79299
Nessus Nome: CentOS 5 : mysql55-mysql (CESA-2014:1859)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍

OpenVAS ID: 703054
OpenVAS Nome: Debian Security Advisory DSA 3054-1 (mysql-5.5 - security update)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍

Linha do tempoinformação

17/09/2014 🔍
14/10/2014 +27 dias 🔍
14/10/2014 +0 dias 🔍
15/10/2014 +1 dias 🔍
15/10/2014 +0 dias 🔍
15/10/2014 +0 dias 🔍
15/10/2014 +0 dias 🔍
15/10/2014 +0 dias 🔍
15/10/2014 +0 dias 🔍
23/02/2022 +2688 dias 🔍

Fontesinformação

Fabricante: oracle.com

Aconselhamento: Oracle Critical Patch Update Advisory - October 2014
Empresa: Oracle
Estado: Confirmado
Confirmação: 🔍

CVE: CVE-2014-6469 (🔍)
GCVE (CVE): GCVE-0-2014-6469
GCVE (VulDB): GCVE-100-67969

OVAL: 🔍
IAVM: 🔍

X-Force: 97176 - Oracle MySQL Server SERVER:OPTIMIZER denial of service, Medium Risk
SecurityFocus: 70446 - Oracle MySQL Server CVE-2014-6469 Remote Security Vulnerability
Secunia: 61579 - Oracle MySQL Multiple Vulnerabilities, Moderately Critical
Vulnerability Center: 46515 - [cpuoct2014-1972960] Oracle MqSQL Remote DoS in the SERVER:OPTIMIZER Subcomponent - CVE-2014-6469, Medium

Vários: 🔍
Veja também: 🔍

Entradainformação

Criado: 15/10/2014 13h40
Atualizado: 23/02/2022 08h17
Ajustamentos: 15/10/2014 13h40 (74), 09/06/2017 06h52 (13), 23/02/2022 08h17 (3)
Completo: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Discussão

Do you want to use VulDB in your project?

Use the official API to access entries easily!