Barracuda Firewall 6.1.0.016 index.cgi cert_error Tập lệnh chéo trang
| CVSS Điểm tạm thời meta | Giá khai thác hiện tại (≈) | Điểm quan tâm CTI |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
Tóm tắt
Lỗ hổng thuộc loại Có vấn đề đã được tìm thấy trong Barracuda Firewall 6.1.0.016. Thành phần bị ảnh hưởng là một hàm không xác định của tệp index.cgi. Việc thao tác đối với tham số cert_error dẫn đến Tập lệnh chéo trang. Có khả năng tiến hành cuộc tấn công từ xa. Hơn nữa, đã có mã khai thác sẵn sàng. Khuyến nghị áp dụng bản vá để khắc phục sự cố này.
Chi tiết
Lỗ hổng thuộc loại Có vấn đề đã được tìm thấy trong Barracuda Firewall 6.1.0.016. Thành phần bị ảnh hưởng là một hàm không xác định của tệp index.cgi. Việc thao tác đối với tham số cert_error dẫn đến Tập lệnh chéo trang. Sử dụng CWE để xác định vấn đề sẽ dẫn đến CWE-80. Lỗ hổng đã được công bố vào 22/02/2014 bởi Benjamin Kunz Mejri với Vulnerability Lab dưới mã Barracuda Bug Bounty #36 Firewall dưới dạng Khuyến cáo (Packetstorm). Thông báo này có thể được tải về tại packetstormsecurity.com. Bản phát hành đã được thực hiện sau khi phối hợp với nhà cung cấp.
Có khả năng tiến hành cuộc tấn công từ xa. Có thông tin chi tiết kỹ thuật. Mức độ phổ biến của lỗ hổng này dưới mức trung bình. Hơn nữa, đã có mã khai thác sẵn sàng. Lỗ hổng đã được công khai và có thể bị khai thác. Vào lúc này, giá exploit ước khoảng USD $0-$5k. Dự án MITRE ATT&CK công bố kỹ thuật tấn công là T1059.007.
Nếu trường này có độ dài, thì nó được đặt là chức năng cao. Bạn có thể tải về mã khai thác tại packetstormsecurity.com. Lỗ hổng này đã là một zero-day chưa được tiết lộ trong ít nhất 142 ngày. Khi là 0-day, giá trị ước lượng trên thị trường ngầm là khoảng $0-$5k.
Khuyến nghị áp dụng bản vá để khắc phục sự cố này.
Lỗ hổng này cũng xuất hiện trong các cơ sở dữ liệu lỗ hổng khác: SecurityFocus (BID 65695) , X-Force (91502).
Sản phẩm
Loại
Nhà cung cấp
Tên
Phiên bản
Giấy phép
Trang web
- Nhà cung cấp: https://www.barracuda.com/
CPE 2.3
CPE 2.2
Video

CVSSv4
VulDB Vector: 🔍VulDB Độ tin cậy: 🔍
CVSSv3
VulDB Điểm cơ sở meta: 4.3VulDB Điểm tạm thời meta: 4.1
VulDB Điểm cơ sở: 4.3
VulDB Điểm tạm thời: 4.1
VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Véc-tơ | Độ phức tạp | Xác thực | Bí mật | Toàn vẹn | Khả dụng |
|---|---|---|---|---|---|
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
VulDB Điểm cơ sở: 🔍
VulDB Điểm tạm thời: 🔍
VulDB Độ tin cậy: 🔍
Khai thác
Lớp: Tập lệnh chéo trangCWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Vật lý: Không
Cục bộ: Không
Từ xa: Có
Khả dụng: 🔍
Truy cập: Công khai
Trạng thái: Chức năng cao
Tác giả: Benjamin Kunz Mejri
Ngôn ngữ lập trình: 🔍
Tải xuống: 🔍
Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔍
| 0-Day | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
|---|---|---|---|---|
| Hôm nay | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
Tình báo mối đe dọa
Sự quan tâm: 🔍Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍
Biện pháp đối phó
Khuyến nghị: Bản váTrạng thái: 🔍
Thời gian phản ứng: 🔍
Thời gian 0-ngày: 🔍
Thời gian trễ khai thác: 🔍
dòng thời gian
28/09/2013 🔍06/10/2013 🔍
17/02/2014 🔍
19/02/2014 🔍
22/02/2014 🔍
25/02/2014 🔍
06/03/2014 🔍
30/03/2019 🔍
Nguồn
Nhà cung cấp: barracuda.comKhuyến cáo: Barracuda Bug Bounty #36 Firewall
Nhà nghiên cứu: Benjamin Kunz Mejri
Tổ chức: Vulnerability Lab
Trạng thái: Đã xác nhận
Xác nhận: 🔍
Đã phối hợp: 🔍
GCVE (VulDB): GCVE-100-12467
X-Force: 91502 - Barracuda Firewall cross-site scripting, Medium Risk
SecurityFocus: 65695 - Barracuda Networks Web Firewall Multiple HTML Injection Vulnerabilities
scip Labs: https://www.scip.ch/en/?labs.20161013
Xem thêm: 🔍
mục
Được tạo: 06/03/2014 09:17Đã cập nhật: 30/03/2019 21:54
Thay đổi: 06/03/2014 09:17 (69), 30/03/2019 21:54 (2)
Hoàn chỉnh: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Chưa có bình luận nào Ngôn ngữ: vi + km + en.
Vui lòng đăng nhập để bình luận