Freereprintables ArticleFR 3.0.4 rate.php ИД SQL-инъекция

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
6.6$0-$5k0.00

СводкаИнформация

Уязвимость была найдена в Freereprintables ArticleFR 3.0.4. Она была объявлена как критический. Затронута неизвестная функция файла rate.php. Выполнение манипуляции с аргументом ИД приводит к SQL-инъекция. Выявление этой уязвимости является CVE-2014-5097. Возможно осуществить атаку удалённо. Более того, эксплойт доступен.

ПодробностиИнформация

Уязвимость была найдена в Freereprintables ArticleFR 3.0.4. Она была объявлена как критический. Затронута неизвестная функция файла rate.php. Выполнение манипуляции с аргументом ИД приводит к SQL-инъекция. Указание проблемы через CWE ведет к CWE-89. Данная уязвимость была опубликована 22.08.2014 при поддержке High-Tech Bridge Security Research Lab (Веб-сайт). Консультация представлена на сайте htbridge.com.

Выявление этой уязвимости является CVE-2014-5097. Присвоение CVE было выполнено 24.07.2014. Возможно осуществить атаку удалённо. Технические детали доступны. Данная уязвимость менее популярна, чем в среднем. Более того, эксплойт доступен. Эксплойт стал общедоступным и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK использует технику атаки T1505 для этой проблемы.

Задано как Доказательство концепции. Эксплойт доступен для загрузки по адресу exploit-db.com. В качестве 0-day ориентировочная цена на подпольном рынке составляла около $0-$5k. .

Информация об уязвимости также содержится в других базах данных уязвимостей: SecurityFocus (BID 69307).

ПродуктИнформация

Поставщик

Имя

Версия

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 6.6

VulDB Базовый балл: 7.3
VulDB Временная оценка: 6.6
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: SQL-инъекция
CWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔍
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

OpenVAS ID: 100870
OpenVAS Имя: ArticleFR CMS id Parameter SQL Injection Vulnerability
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Exploit-DB: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: о смягчении не известно
Статус: 🔍

0-дневное время: 🔍

ХронологияИнформация

24.07.2014 🔍
20.08.2014 +27 дни 🔍
22.08.2014 +2 дни 🔍
22.08.2014 +0 дни 🔍
26.03.2015 +216 дни 🔍
12.01.2025 +3580 дни 🔍

ИсточникиИнформация

Консультация: 127943
Организация: High-Tech Bridge Security Research Lab
Статус: Не определено

CVE: CVE-2014-5097 (🔍)
GCVE (CVE): GCVE-0-2014-5097
GCVE (VulDB): GCVE-100-70704
SecurityFocus: 69307 - ArticleFR 'id' Parameter SQL Injection Vulnerability

scip Labs: https://www.scip.ch/en/?labs.20161013

ВходИнформация

Создано: 26.03.2015 12:07
Обновлено: 12.01.2025 14:58
Изменения: 26.03.2015 12:07 (55), 12.03.2019 08:20 (1), 28.03.2022 11:49 (3), 12.01.2025 14:58 (25)
Завершенный: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Обсуждение

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!