Open Web Analytics до 1.5.5 CSRF Protection owa_user_id неизвестная уязвимость

CVSS Meta Temp ScoreТекущая цена эксплуатации (≈)Балл интереса CTI
7.3$0-$5k0.00

В Open Web Analytics до 1.5.5 была найдена уязвимость, классифицированная как критический. Затронута неизвестная функция компонента CSRF Protection. Использование CWE для объявления проблемы приводит к тому, что CWE-352. Ошибка была обнаружена 13.02.2014. Консультация доступна для скачивания по адресу openwebanalytics.com.

Эта уязвимость обрабатывается как CVE-2014-1457. Назначение CVE произошло 14.01.2014. Атаку можно осуществить удаленно. Имеются технические подробности. Популярность этой уязвимости ниже среднего. Эксплойт отсутствует. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время.

Объявляется Не определено. В 0-дневный период предполагаемая подземная цена составляла около $0-$5k. Сканер уязвимостей Nessus предоставляет плагин с ID 74189 (Open Web Analytics < 1.5.6 Multiple Vulnerabilities), который помогает определить наличие изъяна в целевой среде. Он относится к семейству CGI abuses. Плагин работает в контексте типа r.

Обновление до версии 1.5.6 способно решить эту проблему. Рекомендуется обновить затронутый компонент.

Эта уязвимость также документирована в других базах данных уязвимостей: SecurityFocus (BID 65573) и Tenable (74189).

ПродуктИнформация

Имя

Версия

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Вектор: 🔍
VulDB Надежность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 7.6
VulDB Meta Temp Score: 7.5

VulDB Базовый балл: 6.5
VulDB Временная оценка: 6.2
VulDB Вектор: 🔍
VulDB Надежность: 🔍

NVD Базовый балл: 8.8
NVD Вектор: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надежность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: подделка межсайтовых запросов
CWE: CWE-352 / CWE-862 / CWE-863
ATT&CK: Неизвестно

Локальный: Нет
Удаленный: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогнозирование цены: 🔍
Оценка текущей цены: 🔍

0-Dayразблокироватьразблокироватьразблокироватьразблокировать
Сегодняразблокироватьразблокироватьразблокироватьразблокировать

Nessus ID: 74189
Nessus Имя: Open Web Analytics < 1.5.6 Multiple Vulnerabilities
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Context: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендуется: Обновление
Статус: 🔍

0-дневное время: 🔍

Обновление: Open Web Analytics 1.5.6

Временная шкалаИнформация

14.01.2014 🔍
01.02.2014 +18 дни 🔍
13.02.2014 +12 дни 🔍
13.02.2014 +0 дни 🔍
27.05.2014 +103 дни 🔍
20.03.2018 +1393 дни 🔍
20.03.2018 +0 дни 🔍
21.03.2018 +1 дни 🔍
05.02.2021 +1052 дни 🔍

ИсточникиИнформация

Консультация: openwebanalytics.com
Исследователь: Dana James Traversie
Организация: Dell SecureWorks
Статус: Не определено
Подтверждение: 🔍

CVE: CVE-2014-1457 (🔍)
X-Force: 91125
SecurityFocus: 65573 - Open Web Analytics CVE-2014-1457 Cross Site Request Forgery Vulnerability
OSVDB: 103318 - CVE-2014-1457 - Openwebanalytics - Open Web Analytics - Medium

Смотрите также: 🔍

ВходИнформация

Создано: 21.03.2018 07:34
Обновлено: 05.02.2021 14:16
Изменения: 21.03.2018 07:34 (73), 15.01.2020 07:52 (4), 05.02.2021 14:16 (2)
Завершить: 🔍

Обсуждение

Комментариев пока нет. Языки: ru + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Want to stay up to date on a daily basis?

Enable the mail alert feature now!