Open Web Analytics до 1.5.5 CSRF Protection owa_user_id неизвестная уязвимость

CVSS Meta Temp ScoreТекущая цена эксплуатации (≈)Балл интереса CTI
7.3$0-$5k0.00

В Open Web Analytics до 1.5.5 была найдена уязвимость, классифицированная как критический. Затронута неизвестная функция компонента CSRF Protection. Использование CWE для объявления проблемы приводит к тому, что CWE-352. CVE подводит итог:

Open Web Analytics (OWA) before 1.5.6 improperly generates random nonce values, which makes it easier for remote attackers to bypass a CSRF protection mechanism by leveraging knowledge of an OWA user name.
Ошибка была обнаружена 13.02.2014. Консультация доступна для скачивания по адресу openwebanalytics.com.

Эта уязвимость обрабатывается как CVE-2014-1457. Назначение CVE произошло 14.01.2014. Атаку можно осуществить удаленно. Имеются технические подробности. Популярность этой уязвимости ниже среднего. Эксплойт отсутствует. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время.

Объявляется Не определено. В 0-дневный период предполагаемая подземная цена составляла около $0-$5k. Сканер уязвимостей Nessus предоставляет плагин с ID 74189 (Open Web Analytics < 1.5.6 Multiple Vulnerabilities), который помогает определить наличие изъяна в целевой среде. Он относится к семейству CGI abuses. Плагин работает в контексте типа remote.

Обновление до версии 1.5.6 способно решить эту проблему. Рекомендуется обновить затронутый компонент.

Эта уязвимость также документирована в других базах данных уязвимостей: SecurityFocus (BID 65573), X-Force (91125) и Tenable (74189).

ПродуктИнформацияРедактировать

Имя

CPE 2.3ИнформацияРедактировать

CPE 2.2ИнформацияРедактировать

CVSSv3ИнформацияРедактировать

VulDB Meta Base Score: 7.6
VulDB Meta Temp Score: 7.5

VulDB Базовый балл: 6.5
VulDB Временная оценка: 6.2
VulDB Вектор: 🔍
VulDB Надежность: 🔍

NVD Базовый балл: 8.8
NVD Вектор: 🔍

CVSSv2ИнформацияРедактировать

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надежность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформацияРедактировать

Класс: подделка межсайтовых запросов
CWE: CWE-352
ATT&CK: Неизвестно

Локальный: Нет
Удаленный: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогнозирование цены: 🔍
Оценка текущей цены: 🔍

0-Dayразблокироватьразблокироватьразблокироватьразблокировать
Сегодняразблокироватьразблокироватьразблокироватьразблокировать

Nessus ID: 74189
Nessus Имя: Open Web Analytics < 1.5.6 Multiple Vulnerabilities
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Context: 🔍

Разведка угрозИнформацияРедактировать

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформацияРедактировать

Рекомендуется: Обновление
Статус: 🔍

0-дневное время: 🔍

Обновление: Open Web Analytics 1.5.6

Временная шкалаИнформацияРедактировать

14.01.2014 🔍
01.02.2014 +18 дни 🔍
13.02.2014 +12 дни 🔍
13.02.2014 +0 дни 🔍
27.05.2014 +103 дни 🔍
20.03.2018 +1393 дни 🔍
20.03.2018 +0 дни 🔍
21.03.2018 +1 дни 🔍
05.02.2021 +1052 дни 🔍

ИсточникиИнформацияРедактировать

Консультация: openwebanalytics.com
Исследователь: Dana James Traversie
Организация: Dell SecureWorks
Статус: Не определено
Подтверждение: 🔍

CVE: CVE-2014-1457 (🔍)
X-Force: 91125
SecurityFocus: 65573 - Open Web Analytics CVE-2014-1457 Cross Site Request Forgery Vulnerability
OSVDB: 103318 - CVE-2014-1457 - Openwebanalytics - Open Web Analytics - Medium

Смотрите также: 🔍

ВходИнформацияРедактировать

Создано: 21.03.2018 07:34
Обновлено: 05.02.2021 14:16
Изменения: (2) vulnerability_cvss2_nvd_basescore source_xforce
Завершить: 🔍

Комментарии

Interested in the pricing of exploits?

See the underground prices here!