KDE 4.10.0/4.10.1/4.10.2/4.10.3 kioslave/http/http.cpp m_request.url.url раскрытие информации
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 3.6 | $0-$5k | 0.00 |
Сводка
В проблематичный обнаружена уязвимость, классифицированная как KDE 4.10.0/4.10.1/4.10.2/4.10.3. Поражена неизвестная функция в библиотеке kdelibs файла kioslave/http/http.cpp. Осуществление манипуляции приводит к раскрытие информации. Эта уязвимость продается как CVE-2013-2074. Более того, существует эксплойт. Рекомендуется применить исправление для устранения этой проблемы.
Подробности
В проблематичный обнаружена уязвимость, классифицированная как KDE 4.10.0/4.10.1/4.10.2/4.10.3. Поражена неизвестная функция в библиотеке kdelibs файла kioslave/http/http.cpp. Осуществление манипуляции приводит к раскрытие информации. Декларирование проблемы с помощью CWE приводит к CWE-200. Информация о слабости была опубликована 06.05.2013 автором Vincent Danen совместно с Red Hat Security Response Team как Mailinglist Post (oss-sec). Консультация доступна для загрузки на seclists.org.
Эта уязвимость продается как CVE-2013-2074. Назначение CVE произошло 19.02.2013. Имеются технические подробности. Уровень популярности этой уязвимости ниже среднего значения. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Согласно MITRE ATT&CK, техника атаки, используемая в данной проблеме, имеет значение T1592.
Задано как Доказательство концепции. Эксплойт доступен по адресу seclists.org. В случае 0-day эксплойта, предполагаемая цена на подпольном рынке была около $0-$5k. Сканер уязвимостей Nessus предоставляет плагин с ID 66655 (Fedora 18 : kdelibs3-3.5.10-53.fc18 (2013-8717)), который помогает определить наличие изъяна в целевой среде. Ему присвоено семейство Fedora Local Security Checks. Он полагается на порт 0.
Исправление готово для загрузки по адресу projects.kde.org. Рекомендуется применить исправление для устранения этой проблемы. Потенциальная мера по устранению была доступна спустя 2 дни после публикации информации об уязвимости.
Данная уязвимость также присутствует в других базах данных уязвимостей: SecurityFocus (BID 59808), X-Force (84171), Vulnerability Center (SBV-39937) и Tenable (66655).
Продукт
Имя
Версия
Лицензия
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 4.0VulDB Meta Temp Score: 3.6
VulDB Базовый балл: 4.0
VulDB Временная оценка: 3.6
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: раскрытие информацииCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Физический: Частично
Локальный: Да
Удалённый: Да
Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Nessus ID: 66655
Nessus Имя: Fedora 18 : kdelibs3-3.5.10-53.fc18 (2013-8717)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Port: 🔍
OpenVAS ID: 865649
OpenVAS Имя: Fedora Update for kdelibs3 FEDORA-2013-8689
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ПатчСтатус: 🔍
Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍
Задержка эксплуатации: 🔍
Патч: projects.kde.org
Хронология
19.02.2013 🔍06.05.2013 🔍
06.05.2013 🔍
08.05.2013 🔍
10.05.2013 🔍
10.05.2013 🔍
14.05.2013 🔍
29.05.2013 🔍
10.06.2013 🔍
05.02.2014 🔍
10.05.2021 🔍
Источники
Консультация: seclists.orgИсследователь: Vincent Danen
Организация: Red Hat Security Response Team
Статус: Не определено
Подтверждение: 🔍
CVE: CVE-2013-2074 (🔍)
GCVE (CVE): GCVE-0-2013-2074
GCVE (VulDB): GCVE-100-8659
OVAL: 🔍
X-Force: 84171
SecurityFocus: 59808 - kdelibs CVE-2013-2074 Local Password Disclosure Vulnerability
OSVDB: 93244
Vulnerability Center: 39937 - KDE kdelibs Local Password Disclosure Vulnerability due to Internal Server Errors Returning the User and Password, Low
scip Labs: https://www.scip.ch/en/?labs.20161013
Вход
Создано: 14.05.2013 16:13Обновлено: 10.05.2021 17:14
Изменения: 14.05.2013 16:13 (80), 02.05.2017 08:35 (4), 10.05.2021 17:14 (3)
Завершенный: 🔍
Коммиттер:
Cache ID: 216:C02:103
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.