| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
Сводка
В XMB Forum 1.8 Sp3/1.9 Beta была найдена уязвимость, классифицированная как критический. Поражена неизвестная функция файла member.php. Осуществление манипуляции над аргументом restrict приводит к SQL-инъекция. Эта уязвимость обрабатывается как CVE-2004-1864. Есть возможность удалённого запуска атаки. Более того, существует эксплойт.
Подробности
В XMB Forum 1.8 Sp3/1.9 Beta была найдена уязвимость, классифицированная как критический. Поражена неизвестная функция файла member.php. Осуществление манипуляции над аргументом restrict приводит к SQL-инъекция. Декларирование проблемы с помощью CWE приводит к CWE-89. Информация о слабости была опубликована 26.03.2004 автором Janek Vind совместно с waraxe (Веб-сайт). Консультация доступна для загрузки на marc.theaimsgroup.com.
Эта уязвимость обрабатывается как CVE-2004-1864. Назначение CVE произошло 04.05.2005. Есть возможность удалённого запуска атаки. Имеются технические подробности. Уровень популярности этой уязвимости ниже среднего значения. Более того, существует эксплойт. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k. Согласно MITRE ATT&CK, техника атаки, используемая в данной проблеме, имеет значение T1505.
Присвоено значение Доказательство концепции. В случае 0-day эксплойта, предполагаемая цена на подпольном рынке была около $0-$5k.
Данная уязвимость также присутствует в других базах данных уязвимостей: SecurityFocus (BID 9983), X-Force (15655), Secunia (SA11230) и SecurityTracker (ID 1009561).
Продукт
Тип
Поставщик
Имя
Версия
Лицензия
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 6.4
VulDB Базовый балл: 7.3
VulDB Временная оценка: 6.4
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: SQL-инъекцияCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Статус: Доказательство концепции
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: о смягчении не известноСтатус: 🔍
0-дневное время: 🔍
Хронология
26.03.2004 🔍26.03.2004 🔍
26.03.2004 🔍
26.03.2004 🔍
26.03.2004 🔍
29.03.2004 🔍
29.03.2004 🔍
04.05.2005 🔍
15.10.2014 🔍
18.06.2018 🔍
Источники
Консультация: marc.theaimsgroup.comИсследователь: Janek Vind
Организация: waraxe
Статус: Подтверждённый
CVE: CVE-2004-1864 (🔍)
GCVE (CVE): GCVE-0-2004-1864
GCVE (VulDB): GCVE-100-21691
X-Force: 15655 - XMB multiple scripts SQL injection
SecurityFocus: 9983 - XMB Forum Multiple Vulnerabilities
Secunia: 11230 - XMB Cross-Site Scripting Vulnerabilities, Less Critical
OSVDB: 16886 - XMB Forum today.php restrict Parameter SQL Injection
SecurityTracker: 1009561
scip Labs: https://www.scip.ch/en/?labs.20161013
Смотрите также: 🔍
Вход
Создано: 15.10.2014 17:05Обновлено: 18.06.2018 09:14
Изменения: 15.10.2014 17:05 (62), 18.06.2018 09:14 (8)
Завершенный: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.