VDB-80272 · CVE-2016-0855 · BID 80745

Advantech WebAccess до 8.0 Файл обход каталога

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
7.2$0-$5k0.00

СводкаИнформация

Уязвимость была найдена в Advantech WebAccess до 8.0 и классифицирована как проблематичный. Поражена неизвестная функция. Осуществление манипуляции приводит к обход каталога (Файл). Эта уязвимость однозначно идентифицируется как CVE-2016-0855. Атаку можно провести дистанционно. Эксплойт недоступен. Рекомендуется выполнить обновление уязвимого компонента.

ПодробностиИнформация

Уязвимость была найдена в Advantech WebAccess до 8.0 и классифицирована как проблематичный. Поражена неизвестная функция. Осуществление манипуляции приводит к обход каталога (Файл). Определение CWE для уязвимости следующее CWE-22. Информация о слабости была опубликована 15.01.2016 автором Positive Technologies совместно с Positive Technologies (Веб-сайт). Консультация представлена на сайте ics-cert.us-cert.gov.

Эта уязвимость однозначно идентифицируется как CVE-2016-0855. Присвоение CVE было выполнено 16.12.2015. Атаку можно провести дистанционно. Технические детали недоступны. Уровень популярности этой уязвимости ниже среднего значения. Эксплойт недоступен. Сейчас цена на эксплойт приблизительно равна USD $0-$5k. Проект MITRE ATT&CK использует технику атаки T1006 для этой проблемы.

Указано значение Не определено. Мы ожидаем, что 0-день стоил приблизительно $0-$5k. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 124563 (Advantech WebAccess Multiple Security Vulnerabilities).

Переход на версию 8.1 способен решить эту проблему. Рекомендуется выполнить обновление уязвимого компонента.

Данный тип атаки также может быть обнаружен и предотвращён с помощью TippingPoint и фильтра 20812. Информация об уязвимости также содержится в других базах данных уязвимостей: SecurityFocus (BID 80745) и Vulnerability Center (SBV-56335).

ПродуктИнформация

Тип

Поставщик

Имя

Версия

Лицензия

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 7.5
VulDB Meta Temp Score: 7.3

VulDB Базовый балл: 7.5
VulDB Временная оценка: 7.2
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 7.5
NVD Вектор: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Имя: File
Класс: обход каталога / File
CWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

OpenVAS ID: 802155
OpenVAS Имя: Advantech WebAccess Multiple Vulnerabilities Jan16
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Qualys ID: 🔍
Qualys Имя: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍
Обновление: WebAccess 8.1
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS Версия: 🔍

Fortigate IPS: 🔍

ХронологияИнформация

16.12.2015 🔍
13.01.2016 +28 дни 🔍
13.01.2016 +0 дни 🔍
14.01.2016 +0 дни 🔍
15.01.2016 +1 дни 🔍
15.01.2016 +0 дни 🔍
01.02.2016 +17 дни 🔍
23.07.2018 +902 дни 🔍

ИсточникиИнформация

Поставщик: advantech.com

Консультация: ics-cert.us-cert.gov
Исследователь: Positive Technologies
Организация: Positive Technologies
Статус: Не определено

CVE: CVE-2016-0855 (🔍)
GCVE (CVE): GCVE-0-2016-0855
GCVE (VulDB): GCVE-100-80272
SecurityFocus: 80745 - Advantech WebAccess ICSA-16-014-01 Multiple Security Vulnerabilities
Vulnerability Center: 56335 - Advantech WebAccess before 8.1 Remote Directory Traversal Vulnerability, Critical

Смотрите также: 🔍

ВходИнформация

Создано: 15.01.2016 09:34
Обновлено: 23.07.2018 07:40
Изменения: 15.01.2016 09:34 (67), 23.07.2018 07:40 (15)
Завершенный: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Обсуждение

Do you want to use VulDB in your project?

Use the official API to access entries easily!