Mozilla Bugzilla до 5.0.0 Email Address Util.pm эскалация привилегий

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
6.4	$0-$5k	0.00

СводкаИнформация

Уязвимость была найдена в Mozilla Bugzilla до 5.0.0. Она была оценена как критический. Неизвестная функция файла Util.pm компонента Email Address Handler затронута. Осуществление манипуляции с использованием значения @mozilla.com.example.com приводит к эскалация привилегий. Эта уязвимость обозначается как CVE-2015-4499. Эксплойт отсутствует. Рекомендуется произвести апгрейд соответствующего компонента.

ПодробностиИнформация

Уязвимость была найдена в Mozilla Bugzilla до 5.0.0. Она была оценена как критический. Неизвестная функция файла Util.pm компонента Email Address Handler затронута. Осуществление манипуляции с использованием значения @mozilla.com.example.com приводит к эскалация привилегий. Декларирование проблемы с помощью CWE приводит к CWE-20. Информация о слабости была опубликована 10.09.2015 автором Netanel Rubin как Mailinglist Post (Bugtraq). Консультация доступна по адресу seclists.org.

Эта уязвимость обозначается как CVE-2015-4499. CVE был назначен 10.06.2015. Доступна техническая информация. Уровень популярности этой уязвимости ниже среднего значения. Эксплойт отсутствует. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k.

В случае 0-day эксплойта, предполагаемая цена на подпольном рынке была около $5k-$25k. В сканере Nessus имеется плагин с ID 85925. Он отнесён к семейству FreeBSD Local Security Checks. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 11525 (Bugzilla Security Bypass Vulnerability).

Обновление до 4.4.10 и 5.5.1 может устранить эту уязвимость. Рекомендуется произвести апгрейд соответствующего компонента.

Уязвимость также задокументирована в других базах данных уязвимостей: SecurityFocus (BID 76713), X-Force (106311), SecurityTracker (ID 1033542), Vulnerability Center (SBV-53269) и Tenable (85925).

ПродуктИнформация

Тип

• Bug Tracking Software

Поставщик

• Mozilla

Имя

• Bugzilla

Версия

• 2.x
• 3.x
• 4.0
• 4.1
• 4.2
• 4.2.0
• 4.2.1
• 4.2.2
• 4.2.3
• 4.2.4
• 4.2.5
• 4.2.6
• 4.2.7
• 4.2.8
• 4.2.9
• 4.2.10
• 4.2.11
• 4.2.12
• 4.2.13
• 4.2.14
• 4.3
• 4.4.0
• 4.4.1
• 4.4.2
• 4.4.3
• 4.4.4
• 4.4.5
• 4.4.6
• 4.4.7
• 4.4.8
• 4.4.9
• 5.0

Лицензия

• Открытый исходный код

Веб-сайт

• Поставщик: https://www.mozilla.org/

CPE 2.3Информация

• 🔍
• 🔍
• 🔍

CPE 2.2Информация

• 🔍
• 🔍
• 🔍

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 6.4

VulDB Базовый балл: 7.3
VulDB Временная оценка: 6.4
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: эскалация привилегий
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: недоказанный

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Nessus ID: 85925
Nessus Имя: FreeBSD : Bugzilla security issues (ea893f06-5a92-11e5-98c0-20cf30e32f6d)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍

OpenVAS ID: 867773
OpenVAS Имя: Fedora Update for bugzilla FEDORA-2015-15768
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Qualys ID: 🔍
Qualys Имя: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

0-дневное время: 🔍

Обновление: Bugzilla 4.4.10/5.5.1

ХронологияИнформация

10.06.2015 🔍
10.09.2015 +92 дни 🔍
10.09.2015 +0 дни 🔍
10.09.2015 +0 дни 🔍
11.09.2015 +1 дни 🔍
13.09.2015 +2 дни 🔍
14.09.2015 +1 дни 🔍
07.10.2015 +23 дни 🔍
24.11.2024 +3336 дни 🔍

ИсточникиИнформация

Поставщик: mozilla.org

Консультация: 133578
Исследователь: Netanel Rubin
Статус: Подтверждённый
Подтверждение: 🔍

CVE: CVE-2015-4499 (🔍)
GCVE (CVE): GCVE-0-2015-4499
GCVE (VulDB): GCVE-100-77665
X-Force: 106311 - Bugzilla login names security bypass
SecurityFocus: 76713 - Bugzilla CVE-2015-4499 Security Bypass Vulnerability
SecurityTracker: 1033542
Vulnerability Center: 53269 - Mozilla Bugzilla Remote Bypass Restrictions in Util.pm, High

ВходИнформация

Создано: 14.09.2015 10:18
Обновлено: 24.11.2024 09:56
Изменения: 14.09.2015 10:18 (67), 03.02.2018 10:41 (12), 14.06.2022 21:05 (3), 14.06.2022 21:17 (1), 24.11.2024 09:56 (18)
Завершенный: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Обсуждение

Do you want to use VulDB in your project?

Use the official API to access entries easily!