| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 3.4 | $0-$5k | 0.00 |
Сводка
В BEA Tuxedo до 8.1 была найдена уязвимость, классифицированная как критический. Поражена неизвестная функция компонента File Handler. Осуществление манипуляции над аргументом PATH приводит к раскрытие информации. Эта уязвимость обрабатывается как CVE-2003-0621. Возможно осуществить атаку удалённо. Кроме того, имеется доступный эксплойт. Рекомендуется произвести апгрейд соответствующего компонента.
Подробности
В BEA Tuxedo до 8.1 была найдена уязвимость, классифицированная как критический. Поражена неизвестная функция компонента File Handler. Осуществление манипуляции над аргументом PATH приводит к раскрытие информации. Декларирование проблемы с помощью CWE приводит к CWE-200. Данный баг был выявлен 29.10.2003. Информация о слабости была опубликована 03.11.2003 совместно с Corsaire Security Advisory (Веб-сайт). Консультация доступна по адресу dev2dev.bea.com.
Эта уязвимость обрабатывается как CVE-2003-0621. CVE был назначен 31.07.2003. Возможно осуществить атаку удалённо. Доступна техническая информация. Сложность атаки довольно высока. Эксплуатационная пригодность, как говорят, затруднена. Уровень популярности этой уязвимости превышает средний. Кроме того, имеется доступный эксплойт. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k. Проект MITRE ATT&CK объявляет технику атаки как T1592.
Присвоено значение Доказательство концепции. Эксплойт доступен по адресу dev2dev.bea.com. В случае 0-day эксплойта, предполагаемая цена на подпольном рынке была около $5k-$25k. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 86700 (BEA Tuxedo and WebLogic Enterprise Input Validation Vulnerability).
Обновление до версии 8.1 позволяет устранить данную проблему. Исправление уже готово и доступно для скачивания на dev2dev.bea.com. Рекомендуется произвести апгрейд соответствующего компонента.
Уязвимость также задокументирована в других базах данных уязвимостей: SecurityFocus (BID 8931), X-Force (13559), Secunia (SA10106) и Vulnerability Center (SBV-6748).
Продукт
Поставщик
Имя
Версия
Лицензия
Веб-сайт
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 3.7VulDB Meta Temp Score: 3.4
VulDB Базовый балл: 3.7
VulDB Временная оценка: 3.4
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: раскрытие информацииCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Qualys ID: 🔍
Qualys Имя: 🔍
Exploit-DB: 🔍
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
0-дневное время: 🔍
Обновление: Tuxedo 8.1
Патч: dev2dev.bea.com
Хронология
31.07.2003 🔍29.10.2003 🔍
30.10.2003 🔍
30.10.2003 🔍
30.10.2003 🔍
03.11.2003 🔍
03.11.2003 🔍
01.12.2003 🔍
20.07.2024 🔍
Источники
Поставщик: oracle.comКонсультация: dev2dev.bea.com
Исследователь: The disclosure
Организация: Corsaire Security Advisory
Статус: Не определено
Подтверждение: 🔍
CVE: CVE-2003-0621 (🔍)
GCVE (CVE): GCVE-0-2003-0621
GCVE (VulDB): GCVE-100-361
X-Force: 13559 - BEA Tuxedo administration console file disclosure, Medium Risk
SecurityFocus: 8931 - BEA Tuxedo and WebLogic Enterprise Input Validation Vulnerability
Secunia: 10106 - BEA Tuxedo and WebLogic Enterprise Administration Console Vulnerability, Less Critical
OSVDB: 2741 - BEA Admin Console INIFILE Validation Issues
SecuriTeam: securiteam.com
Vulnerability Center: 6748
scip Labs: https://www.scip.ch/en/?labs.20161013
Смотрите также: 🔍
Вход
Создано: 03.11.2003 10:27Обновлено: 20.07.2024 04:03
Изменения: 03.11.2003 10:27 (82), 27.06.2019 07:50 (2), 09.03.2021 07:19 (2), 06.07.2024 12:14 (18), 20.07.2024 04:03 (1)
Завершенный: 🔍
Cache ID: 216:2EB:103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.