Tips And Tricks All In One Wordpress Security And Firewall до 3.8.1 order SQL-инъекция
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 5.0 | $0-$5k | 0.00 |
Сводка
Обнаружена уязвимость, классифицированная как проблематичный, в Tips And Tricks All In One Wordpress Security And Firewall до 3.8.1. Затронута неизвестная функция. Выполнение манипуляции с аргументом order приводит к SQL-инъекция. Данная уязвимость известна под идентификатором CVE-2014-6242. Атаку можно осуществить удаленно. Также существует доступный эксплойт. Рекомендуется провести обновление затронутого компонента.
Подробности
Обнаружена уязвимость, классифицированная как проблематичный, в Tips And Tricks All In One Wordpress Security And Firewall до 3.8.1. Затронута неизвестная функция. Выполнение манипуляции с аргументом order приводит к SQL-инъекция. Указание проблемы через CWE ведет к CWE-89. Данная уязвимость была опубликована 02.10.2014 (Веб-сайт). Консультация размещена для скачивания на htbridge.com.
Данная уязвимость известна под идентификатором CVE-2014-6242. Дата назначения CVE — 04.09.2014. Атаку можно осуществить удаленно. Техническая информация предоставлена. Данная уязвимость менее популярна, чем в среднем. Также существует доступный эксплойт. Эксплойт доступен широкой публике и может быть использован. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k. Этой уязвимости присвоен номер T1505 проектом MITRE ATT&CK.
Присвоено значение Доказательство концепции. Эксплойт доступен для загрузки по адресу exploit-db.com. Уязвимость рассматривалась как непубличный эксплойт нулевого дня в течение как минимум 7 дней. В качестве 0-day ориентировочная цена на подпольном рынке составляла около $0-$5k. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 13040 (WordPress All In One WP Security and Firewall Plugin Multiple SQL Injection Vulnerabilities).
Обновление до версии 3.8.2 позволяет устранить данную проблему. Рекомендуется провести обновление затронутого компонента.
Эта уязвимость также документирована в других базах данных уязвимостей: SecurityFocus (BID 70150), X-Force (96204) и Vulnerability Center (SBV-46802).
Продукт
Тип
Поставщик
Имя
Версия
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.0
VulDB Базовый балл: 5.5
VulDB Временная оценка: 5.0
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: SQL-инъекцияCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Автор: High-Tech Bridge SA
Скачать: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Qualys ID: 🔍
Qualys Имя: 🔍
Exploit-DB: 🔍
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
0-дневное время: 🔍
Обновление: All In One Wordpress Security And Firewall 3.8.2
Хронология
04.09.2014 🔍24.09.2014 🔍
24.09.2014 🔍
25.09.2014 🔍
25.09.2014 🔍
02.10.2014 🔍
02.10.2014 🔍
27.10.2014 🔍
26.03.2015 🔍
15.12.2024 🔍
Источники
Консультация: 128419Статус: Подтверждённый
Подтверждение: 🔍
CVE: CVE-2014-6242 (🔍)
GCVE (CVE): GCVE-0-2014-6242
GCVE (VulDB): GCVE-100-71766
X-Force: 96204
SecurityFocus: 70150 - WordPress All In One WP Security & Firewall Plugin Multiple SQL Injection Vulnerabilities
Vulnerability Center: 46802 - One WP Security \x26 Firewall Plugin for WordPress Remote SQL Injection, Medium
scip Labs: https://www.scip.ch/en/?labs.20161013
Вход
Создано: 26.03.2015 16:14Обновлено: 15.12.2024 02:34
Изменения: 26.03.2015 16:14 (58), 10.06.2017 09:37 (11), 29.03.2022 15:57 (3), 15.12.2024 02:34 (18)
Завершенный: 🔍
Cache ID: 216:9D2:103
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.