VDB-13139 · XFDB 92767 · BID 66783

Plex Media Server 0.9.9.10 Python Stack Trace раскрытие информации

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
4.8$0-$5k0.00

СводкаИнформация

В проблематичный обнаружена уязвимость, классифицированная как Plex Media Server 0.9.9.10. Затронута неизвестная функция компонента Python Stack Trace Handler. Манипуляция приводит к раскрытие информации. Атака может быть осуществлена удаленно. Более того, существует эксплойт.

ПодробностиИнформация

В проблематичный обнаружена уязвимость, классифицированная как Plex Media Server 0.9.9.10. Затронута неизвестная функция компонента Python Stack Trace Handler. Манипуляция приводит к раскрытие информации. Использование CWE для описания проблемы приводит к CWE-200. Слабость была опубликована 06.02.2014 специалистом Stefan Viehböck от компании SEC Consult Vulnerability Lab под идентификатором SEC Consult Vulnerability Lab Security Advisory 20140411-0 как Консультация (Веб-сайт). Консультация доступна для загрузки на sec-consult.com.

Атака может быть осуществлена удаленно. Технические подробности отсутствуют. Популярность этой уязвимости ниже среднего. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Согласно MITRE ATT&CK, техника атаки, используемая в данной проблеме, имеет значение T1592. Консультация указывает:

Python stack traces are included in the responses for some requests. This allows an attacker to gain information about the target operating system, local file paths etc. which can be used in further attacks.

Задано как Доказательство концепции. Эксплойт доступен для загрузки на сайте sec-consult.com. В 0-дневный период предполагаемая подземная цена составляла около $0-$5k. Код, используемый эксплойтом, следующий:

GET /system/proxy HTTP/1.1
Host: <HOST>
X-Plex-Url: http://my.plexapp.com/NONEXISTANT
.

Данная уязвимость также присутствует в других базах данных уязвимостей: SecurityFocus (BID 66783), X-Force (92767) и Secunia (SA57882).

ПродуктИнформация

Поставщик

Имя

Версия

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 4.8

VulDB Базовый балл: 5.3
VulDB Временная оценка: 4.8
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: раскрытие информации
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Автор: Stefan Viehböck
Язык программирования: 🔍
Скачать: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: о смягчении не известно
Статус: 🔍

0-дневное время: 🔍
Задержка эксплуатации: 🔍

ХронологияИнформация

06.02.2014 🔍
06.02.2014 +0 дни 🔍
06.02.2014 +0 дни 🔍
10.02.2014 +4 дни 🔍
25.04.2014 +74 дни 🔍
05.05.2014 +10 дни 🔍
09.08.2017 +1192 дни 🔍

ИсточникиИнформация

Консультация: SEC Consult Vulnerability Lab Security Advisory 20140411-0
Исследователь: Stefan Viehböck
Организация: SEC Consult Vulnerability Lab
Статус: Не определено

GCVE (VulDB): GCVE-100-13139
X-Force: 92767 - Plex Media Server X-Plex-Url information disclosure, Medium Risk
SecurityFocus: 66783 - Plex Media Server Multiple Security Vulnerabilities
Secunia: 57882 - Plex Media Server Multiple Vulnerabilities, Less Critical

scip Labs: https://www.scip.ch/en/?labs.20161013
Смотрите также: 🔍

ВходИнформация

Создано: 05.05.2014 10:55
Обновлено: 09.08.2017 14:08
Изменения: 05.05.2014 10:55 (51), 09.08.2017 14:08 (12)
Завершенный: 🔍
Cache ID: 216:B86:103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Обсуждение

Комментариев пока нет. Языки: ru + be + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Might our Artificial Intelligence support you?

Check our Alexa App!