CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
4.7	$0-$5k	0.00

СводкаИнформация

Уязвимость была найдена в OAuth and OpenID 2.0. Она была оценена как проблематичный. Затронута неизвестная функция. Выполнение манипуляции приводит к эскалация привилегий. Эксплойт отсутствует.

ПодробностиИнформация

Уязвимость была найдена в OAuth and OpenID 2.0. Она была оценена как проблематичный. Затронута неизвестная функция. Выполнение манипуляции приводит к эскалация привилегий. Использование CWE для объявления проблемы приводит к тому, что CWE-269. Данная уязвимость была опубликована 06.05.2014 исследователем Wang Jing в виде Консультация (Веб-сайт). Консультация доступна по адресу tetraph.com.

Техническая информация отсутствует. Данная уязвимость менее популярна, чем в среднем. Эксплойт отсутствует. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k. Проект MITRE ATT&CK объявляет технику атаки как T1068. В уведомлении отмечается:

It could lead to Open Redirect attacks to both clients and providers of OAuth 2.0 or OpenID. For OAuth 2.0, these attacks might jeopardize “the token” of the site users, which could be used to access user information.

Как 0-day, оценочная цена на теневом рынке составляла примерно $0-$5k.

В уведомлении содержится следующий комментарий:

The patch of this vulnerability is easier said than done. If all the third-party applications strictly adhere to using a whitelist. Then there would be no room for attacks. However, in the real world, a large number of third-party applications do not do this due to various reasons. This makes the systems based on OAuth 2.0 or OpenID highly vulnerable. An alternative solution is the providers developing a more thorough verification procedure to prevent such attacks.

Уязвимость также задокументирована в других базах данных уязвимостей: SecurityFocus (BID 67196) и X-Force (93031).

ПродуктИнформация

Имя

• OAuth
• OpenID

Версия

• 2.0

CPE 2.3Информация

• 🔍
• 🔍

CPE 2.2Информация

• 🔍
• 🔍

Видео

Youtube: Больше недоступно

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 4.7

VulDB Базовый балл: 5.3
VulDB Временная оценка: 4.7
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: эскалация привилегий
CWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: недоказанный
Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: о смягчении не известно
Статус: 🔍

0-дневное время: 🔍

ХронологияИнформация

02.05.2014 🔍
06.05.2014 +4 дни 🔍
12.05.2014 +6 дни 🔍
02.04.2019 +1785 дни 🔍

ИсточникиИнформация

Консультация: tetraph.com
Исследователь: Wang Jing
Статус: Не определено

GCVE (VulDB): GCVE-100-13185
X-Force: 93031 - OAuth and OpenID open redirect, Medium Risk
SecurityFocus: 67196 - OAuth and OpenID Open Redirection Vulnerability
OSVDB: 106567

Разное: 🔍

ВходИнформация

Создано: 12.05.2014 10:51
Обновлено: 02.04.2019 00:18
Изменения: 12.05.2014 10:51 (48), 02.04.2019 00:18 (2)
Завершенный: 🔍
Cache ID: 216:450:103

Обсуждение

Do you want to use VulDB in your project?

Use the official API to access entries easily!