| CVSS Meta Temp Score | Текущая цена эксплуатации (≈) | Балл интереса CTI |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
Уязвимость была найдена в Drupal 7.33 и классифицирована как проблемные. Затронута неизвестная функция компонента Password Hashing API. Определение CWE для уязвимости следующее CWE-20. Консультация представлена на сайте drupal.org.
Эта уязвимость однозначно идентифицируется как CVE-2014-9016. Назначение CVE произошло 20.11.2014. Технические подробности отсутствуют. Популярность этой уязвимости ниже среднего. Эксплойт отсутствует. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Консультация указывает:
Drupal 7 includes a password hashing API to ensure that user supplied passwords are not stored in plain text. A vulnerability in this API allows an attacker to send specially crafted requests resulting in CPU and memory exhaustion. This may lead to the site becoming unavailable or unresponsive (denial of service).
Мы ожидаем, что 0-день стоил приблизительно $0-$5k. Консультация указывает:
If you have configured a custom session.inc file for your Drupal 6 or Drupal 7 site you also need to make sure that it is not prone to the same session hijacking vulnerability disclosed in this security advisory. If you have configured a custom password.inc file for your Drupal 7 site you also need to make sure that it is not prone to the same denial of service vulnerability disclosed in this security advisory.Сканер уязвимостей Nessus предоставляет плагин с ID 79679 (Fedora 20 : drupal7-7.34-1.fc20 (2014-15528)), который помогает определить наличие изъяна в целевой среде. Он относится к семейству Fedora Local Security Checks. Он полагается на порт 0.
Обновление до версии 6.x и 7.34 способно решить эту проблему. Рекомендуется обновить затронутый компонент.
Эта уязвимость также документирована в других базах данных уязвимостей: SecurityFocus (BID 71195), X-Force (98861), Secunia (SA59164), Vulnerability Center (SBV-47447) и Tenable (79679).
Продукт
Тип
Имя
Версия
Лицензия
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Вектор: 🔍
VulDB Надежность: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.6
VulDB Базовый балл: 5.3
VulDB Временная оценка: 4.6
VulDB Вектор: 🔍
VulDB Надежность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| разблокировать | разблокировать | разблокировать | разблокировать | разблокировать | разблокировать |
| разблокировать | разблокировать | разблокировать | разблокировать | разблокировать | разблокировать |
| разблокировать | разблокировать | разблокировать | разблокировать | разблокировать | разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надежность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: эскалация привилегийCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Локальный: Нет
Удаленный: Да
Доступность: 🔍
Статус: Недоказанный
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогнозирование цены: 🔍
Оценка текущей цены: 🔍
| 0-Day | разблокировать | разблокировать | разблокировать | разблокировать |
|---|---|---|---|---|
| Сегодня | разблокировать | разблокировать | разблокировать | разблокировать |
Nessus ID: 79679
Nessus Имя: Fedora 20 : drupal7-7.34-1.fc20 (2014-15528)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Port: 🔍
OpenVAS ID: 703075
OpenVAS Имя: Debian Security Advisory DSA 3075-1 (drupal7 - security update)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендуется: ОбновлениеСтатус: 🔍
Время реакции: 🔍
0-дневное время: 🔍
Время эксплойта: 🔍
Обновление: Drupal 6.x/7.34
Временная шкала
19.11.2014 🔍19.11.2014 🔍
19.11.2014 🔍
19.11.2014 🔍
20.11.2014 🔍
21.11.2014 🔍
21.11.2014 🔍
24.11.2014 🔍
03.12.2014 🔍
08.12.2014 🔍
25.02.2022 🔍
Источники
Продукт: drupal.orgКонсультация: DRUPAL-SA-CORE-2014-006
Исследователь: Michael Cullum, Javier Nieto, Andrés Rojas Guerrero
Статус: Подтвержденный
Подтверждение: 🔍
CVE: CVE-2014-9016 (🔍)
OVAL: 🔍
X-Force: 98861 - Drupal core password hashing API denial of service, Medium Risk
Vulnerability Center: 47447 - Drupal 7.x before 7.34 and Phpass Module 6.x-2.x before 6.x-2.1 for Drupal Remote DoS via a Crafted Request, Medium
SecurityFocus: 71195 - Drupal Core CVE-2014-9015 Session Hijacking Vulnerability
Secunia: 59164 - Drupal Session Hijacking and Denial of Service Vulnerabilities, Moderately Critical
Разное: 🔍
Смотрите также: 🔍
Вход
Создано: 21.11.2014 09:24Обновлено: 25.02.2022 07:15
Изменения: 21.11.2014 09:24 (82), 13.06.2017 09:17 (4), 25.02.2022 07:15 (3)
Завершить: 🔍
Комментариев пока нет. Языки: ru + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.