phpMyAdmin 4.1.6 XAMPP xamppsecurity.php подделка межсайтовых запросов
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 3.8 | $0-$5k | 0.00 |
Сводка
Уязвимость была найдена в phpMyAdmin 4.1.6. Она была оценена как проблематичный. Поражена неизвестная функция файла security/xamppsecurity.php компонента XAMPP. Осуществление манипуляции приводит к подделка межсайтовых запросов. Возможно осуществить атаку удалённо. Более того, существует эксплойт.
Подробности
Уязвимость была найдена в phpMyAdmin 4.1.6. Она была оценена как проблематичный. Поражена неизвестная функция файла security/xamppsecurity.php компонента XAMPP. Осуществление манипуляции приводит к подделка межсайтовых запросов. Декларирование проблемы с помощью CWE приводит к CWE-352. Информация о слабости была опубликована 05.04.2014 автором Mayank Kapoor, Sujoy Chakravarti and Gurjant Singh Sadhra под номером File 126036 как Эксплойт (Packetstorm). Консультация доступна для загрузки на packetstormsecurity.com.
Возможно осуществить атаку удалённо. Имеются технические подробности. Уровень популярности этой уязвимости ниже среднего значения. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k.
Объявляется Доказательство концепции. Эксплойт доступен по адресу exploit-db.com. В случае 0-day эксплойта, предполагаемая цена на подпольном рынке была около $5k-$25k.
Данная уязвимость также присутствует в других базах данных уязвимостей: SecurityFocus (BID 66680) и X-Force (92338).
Затронуто
- phpMyAdmin 4.1.6
- XAMPP 3.2.1
Продукт
Тип
Имя
Версия
Лицензия
Веб-сайт
- Продукт: https://www.phpmyadmin.net/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 3.8
VulDB Базовый балл: 4.3
VulDB Временная оценка: 3.8
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
Эксплуатация
Класс: подделка межсайтовых запросовCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Автор: Mayank Kapoor/Sujoy Chakravarti/Gurjant Singh Sadhra
Скачать: 🔍
Google Hack: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Exploit-DB: 🔍
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: о смягчении не известноСтатус: 🔍
0-дневное время: 🔍
Задержка эксплуатации: 🔍
Хронология
05.04.2014 🔍05.04.2014 🔍
07.04.2014 🔍
07.04.2014 🔍
09.04.2014 🔍
01.04.2019 🔍
Источники
Продукт: phpmyadmin.netКонсультация: File 126036
Исследователь: Mayank Kapoor, Sujoy Chakravarti, Gurjant Singh Sadhra
Статус: Не определено
GCVE (VulDB): GCVE-100-12835
X-Force: 92338 - phpMyAdmin with XAMPP installed cross-site request forgery, Medium Risk
SecurityFocus: 66680 - XAMPP Cross Site Scripting and Cross Site Request Forgery Vulnerabilities
OSVDB: 105502
scip Labs: https://www.scip.ch/en/?labs.20161013
Смотрите также: 🔍
Вход
Создано: 09.04.2014 11:32Обновлено: 01.04.2019 09:58
Изменения: 09.04.2014 11:32 (48), 01.04.2019 09:58 (10)
Завершенный: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.