WEKA INTEREST Security Scanner đến 1.8 Stresstest Scheme Từ chối dịch vụ
| CVSS Điểm tạm thời meta | Giá khai thác hiện tại (≈) | Điểm quan tâm CTI |
|---|---|---|
| 3.7 | $0-$5k | 0.00 |
Tóm tắt
Một điểm yếu phân loại là Có vấn đề đã xuất hiện trong WEKA INTEREST Security Scanner đến 1.8. Đối tượng bị ảnh hưởng là một chức năng không xác định thuộc thành phần Stresstest Scheme Handler. Quá trình thao tác gây ra Từ chối dịch vụ. Lỗ hổng này được biết đến với tên CVE-2017-20012. Tấn công cần được thực hiện tại chỗ. Hơn nữa, có một khai thác sẵn có. Khuyến nghị thay thế thành phần bị ảnh hưởng bằng một thành phần thay thế.
Chi tiết
Một điểm yếu phân loại là Có vấn đề đã xuất hiện trong WEKA INTEREST Security Scanner đến 1.8. Đối tượng bị ảnh hưởng là một chức năng không xác định thuộc thành phần Stresstest Scheme Handler. Quá trình thao tác gây ra Từ chối dịch vụ. Khai báo vấn đề bằng CWE sẽ dẫn tới CWE-404. Lỗi này được phát hiện vào 30/07/2007. Lỗ hổng này đã được phát hành vào ngày 05/06/2017 bởi Marc Ruef cùng với scip AG với mã VDB-101969 dưới loại mục (VulDB). Bạn có thể tải khuyến nghị này tại vuldb.com. Bản phát hành công khai đã được thực hiện mà không phối hợp với nhà sản xuất. Thông tin tiết lộ như sau:
The Attack Tool Kit (ATK) is an exploiting framwork published under GPL3. Back in 2006 there was a legal dispute between the developer Marc Ruef and the German company WEKA. Ruef claimed that WEKA violated the open-source license while they were using parts of the project within their commercial vulnerability scanner. During the technical analysis of INTEREST SEcurity Scanner several security issues, which affect the handling of the vulnerability scanner, got determined.
Lỗ hổng này được biết đến với tên CVE-2017-20012. Tấn công cần được thực hiện tại chỗ. Không có chi tiết kỹ thuật nào. Mức độ phổ biến của lỗ hổng này thấp hơn mức trung bình. Hơn nữa, có một khai thác sẵn có. Khai thác này đã được công bố công khai và có thể được sử dụng. Vào thời điểm này, giá hiện tại của một khai thác có thể khoảng USD $0-$5k. Bản khuyến cáo đề cập:
The stresstest module requires the url to begin with an http scheme. Without that no requests are sent over the network.
Nếu có giá trị độ dài, thì nó được gán là bằng chứng khái niệm. Đường dẫn tải mã khai thác: vuldb.com. Lỗ hổng đã được coi là một khai thác zero-day chưa công khai trong ít nhất 3598 ngày. Là 0-day, giá ước tính trên thị trường ngầm vào khoảng $0-$5k.
Một giải pháp thay thế có thể là ATK - Attack Tool Kit. Khuyến nghị thay thế thành phần bị ảnh hưởng bằng một thành phần thay thế.
Sản phẩm
Loại
Nhà cung cấp
Tên
Phiên bản
hỗ trợ
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Độ tin cậy: 🔍
CVSSv3
VulDB Điểm cơ sở meta: 3.7VulDB Điểm tạm thời meta: 3.7
VulDB Điểm cơ sở: 2.8
VulDB Điểm tạm thời: 2.7
VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍
NVD Điểm cơ sở: 5.5
NVD Vector: 🔍
CNA Điểm cơ sở: 2.8
CNA Vector (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Véc-tơ | Độ phức tạp | Xác thực | Bí mật | Toàn vẹn | Khả dụng |
|---|---|---|---|---|---|
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
VulDB Điểm cơ sở: 🔍
VulDB Điểm tạm thời: 🔍
VulDB Độ tin cậy: 🔍
NVD Điểm cơ sở: 🔍
Khai thác
Lớp: Từ chối dịch vụCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Vật lý: Một phần
Cục bộ: Có
Từ xa: Một phần
Khả dụng: 🔍
Truy cập: Công khai
Trạng thái: Bằng chứng khái niệm
Tác giả: Marc Ruef
Tải xuống: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔍
| 0-Day | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
|---|---|---|---|---|
| Hôm nay | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
Tình báo mối đe dọa
Sự quan tâm: 🔍Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍
Biện pháp đối phó
Khuyến nghị: Phương án thay thếTrạng thái: 🔍
Thời gian 0-ngày: 🔍
Thời gian trễ khai thác: 🔍
Phương án thay thế: ATK - Attack Tool Kit
dòng thời gian
30/07/2007 🔍05/06/2017 🔍
05/06/2017 🔍
05/06/2017 🔍
28/01/2022 🔍
06/08/2024 🔍
Nguồn
Khuyến cáo: VDB-101969Nhà nghiên cứu: Marc Ruef
Tổ chức: scip AG
Trạng thái: Đã xác nhận
CVE: CVE-2017-20012 (🔍)
GCVE (CVE): GCVE-0-2017-20012
GCVE (VulDB): GCVE-100-101970
scip Labs: https://www.scip.ch/en/?labs.20161013
Khác: 🔍
Xem thêm: 🔍
mục
Được tạo: 05/06/2017 22:20Đã cập nhật: 06/08/2024 03:24
Thay đổi: 05/06/2017 22:20 (59), 17/05/2020 10:47 (2), 28/01/2022 12:22 (5), 02/03/2022 08:44 (2), 07/12/2022 17:36 (3), 07/12/2022 17:43 (27), 06/08/2024 03:24 (15)
Hoàn chỉnh: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Chưa có bình luận nào Ngôn ngữ: vi + km + en.
Vui lòng đăng nhập để bình luận