WEKA INTEREST Security Scanner до 1.8 Stresstest Scheme отказ в обслуживании
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 3.7 | $0-$5k | 0.00 |
Сводка
Уязвимость, классифицированная как проблематичный, была найдена в WEKA INTEREST Security Scanner до 1.8. Затронута неизвестная функция компонента Stresstest Scheme Handler. Выполнение манипуляции приводит к отказ в обслуживании. Эта уязвимость известна как CVE-2017-20012. Атаку можно провести на локальном хосте. Также существует доступный эксплойт. Рекомендуется заменить пораженный компонент на альтернативный.
Подробности
Уязвимость, классифицированная как проблематичный, была найдена в WEKA INTEREST Security Scanner до 1.8. Затронута неизвестная функция компонента Stresstest Scheme Handler. Выполнение манипуляции приводит к отказ в обслуживании. Указание проблемы через CWE ведет к CWE-404. Уязвимость была выявлена 30.07.2007. Данная уязвимость была опубликована 05.06.2017 исследователем Marc Ruef при поддержке scip AG с идентификатором VDB-101969 в виде Вход (VulDB). Консультацию можно прочитать на сайте vuldb.com. Публичное раскрытие информации было осуществлено без согласования с вендором. Раскрытие содержит:
The Attack Tool Kit (ATK) is an exploiting framwork published under GPL3. Back in 2006 there was a legal dispute between the developer Marc Ruef and the German company WEKA. Ruef claimed that WEKA violated the open-source license while they were using parts of the project within their commercial vulnerability scanner. During the technical analysis of INTEREST SEcurity Scanner several security issues, which affect the handling of the vulnerability scanner, got determined.
Эта уязвимость известна как CVE-2017-20012. Атаку можно провести на локальном хосте. Техническая информация не предоставлена. Данная уязвимость менее популярна, чем в среднем. Также существует доступный эксплойт. Эксплойт доступен широкой публике и может быть использован. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k. В уведомлении отмечается:
The stresstest module requires the url to begin with an http scheme. Without that no requests are sent over the network.
Объявляется Доказательство концепции. Эксплойт доступен для загрузки по адресу vuldb.com. Уязвимость рассматривалась как непубличный эксплойт нулевого дня в течение как минимум 3598 дней. В качестве 0-day ориентировочная цена на подпольном рынке составляла около $0-$5k.
В качестве альтернативы можно рассмотреть ATK - Attack Tool Kit. Рекомендуется заменить пораженный компонент на альтернативный.
Продукт
Тип
Поставщик
Имя
Версия
Поддержка
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 3.7VulDB Meta Temp Score: 3.7
VulDB Базовый балл: 2.8
VulDB Временная оценка: 2.7
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 5.5
NVD Вектор: 🔍
CNA Базовый балл: 2.8
CNA Вектор (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: отказ в обслуживанииCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Физический: Частично
Локальный: Да
Удалённый: Частично
Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Автор: Marc Ruef
Скачать: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: АльтернативаСтатус: 🔍
0-дневное время: 🔍
Задержка эксплуатации: 🔍
Альтернатива: ATK - Attack Tool Kit
Хронология
30.07.2007 🔍05.06.2017 🔍
05.06.2017 🔍
05.06.2017 🔍
28.01.2022 🔍
06.08.2024 🔍
Источники
Консультация: VDB-101969Исследователь: Marc Ruef
Организация: scip AG
Статус: Подтверждённый
CVE: CVE-2017-20012 (🔍)
GCVE (CVE): GCVE-0-2017-20012
GCVE (VulDB): GCVE-100-101970
scip Labs: https://www.scip.ch/en/?labs.20161013
Разное: 🔍
Смотрите также: 🔍
Вход
Создано: 05.06.2017 22:20Обновлено: 06.08.2024 03:24
Изменения: 05.06.2017 22:20 (59), 17.05.2020 10:47 (2), 28.01.2022 12:22 (5), 02.03.2022 08:44 (2), 07.12.2022 17:36 (3), 07.12.2022 17:43 (27), 06.08.2024 03:24 (15)
Завершенный: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.