| CVSS Điểm tạm thời meta | Giá khai thác hiện tại (≈) | Điểm quan tâm CTI |
|---|---|---|
| 8.2 | $0-$5k | 0.00 |
Tóm tắt
Lỗ hổng thuộc loại nghiêm trọng đã được tìm thấy trong FreePBX 2.9/2.10. Thành phần bị ảnh hưởng là một hàm không xác định của tệp callme_page.php. Việc thao tác đối với tham số action dẫn đến nâng cao đặc quyền. Lỗ hổng này có mã CVE-2012-4869. Hơn nữa, đã có mã khai thác sẵn sàng. Khuyến nghị áp dụng bản vá để khắc phục sự cố này.
Chi tiết
Lỗ hổng thuộc loại nghiêm trọng đã được tìm thấy trong FreePBX 2.9/2.10. Thành phần bị ảnh hưởng là một hàm không xác định của tệp callme_page.php. Việc thao tác đối với tham số action dẫn đến nâng cao đặc quyền. Sử dụng CWE để xác định vấn đề sẽ dẫn đến CWE-94. Lỗ hổng đã được công bố vào 22/03/2012 bởi Martin Tschirsich với Technische Universität Darmstadt dưới dạng Mailinglist Post (Full-Disclosure). Thông báo này có thể được tải về tại archives.neohapsis.com. Việc công bố công khai đã diễn ra mà không có sự phối hợp với nhà cung cấp.
Lỗ hổng này có mã CVE-2012-4869. Việc gán CVE đã diễn ra vào 06/09/2012. Có thông tin chi tiết kỹ thuật. Mức độ phổ biến của lỗ hổng này dưới mức trung bình. Hơn nữa, đã có mã khai thác sẵn sàng. Lỗ hổng đã được công khai và có thể bị khai thác. Vào lúc này, giá exploit ước khoảng USD $0-$5k. Dự án MITRE ATT&CK công bố kỹ thuật tấn công là T1059.
Nếu trường này có độ dài, thì nó được đặt là chức năng cao. Bạn có thể tải về mã khai thác tại archives.neohapsis.com. Khi là 0-day, giá trị ước lượng trên thị trường ngầm là khoảng $0-$5k.
Bản vá có tên là Unofficial Patch. Bản vá lỗi đã sẵn sàng để tải xuống tại archives.neohapsis.com. Khuyến nghị áp dụng bản vá để khắc phục sự cố này.
Lỗ hổng này cũng xuất hiện trong các cơ sở dữ liệu lỗ hổng khác: SecurityFocus (BID 52630), X-Force (74174) , Secunia (SA48475).
Sản phẩm
Tên
Phiên bản
Giấy phép
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Độ tin cậy: 🔍
CVSSv3
VulDB Điểm cơ sở meta: 9.1VulDB Điểm tạm thời meta: 8.2
VulDB Điểm cơ sở: 9.1
VulDB Điểm tạm thời: 8.2
VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Véc-tơ | Độ phức tạp | Xác thực | Bí mật | Toàn vẹn | Khả dụng |
|---|---|---|---|---|---|
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
VulDB Điểm cơ sở: 🔍
VulDB Điểm tạm thời: 🔍
VulDB Độ tin cậy: 🔍
NVD Điểm cơ sở: 🔍
Khai thác
Lớp: Nâng cao đặc quyềnCWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Vật lý: Không
Cục bộ: Không
Từ xa: Có
Khả dụng: 🔍
Truy cập: Công khai
Trạng thái: Chức năng cao
Tác giả: Martin Tschirsich
Tải xuống: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔍
| 0-Day | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
|---|---|---|---|---|
| Hôm nay | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
OpenVAS ID: 902823
OpenVAS Tên: FreePBX Multiple Cross Site Scripting and Remote Command Execution Vulnerabilities
OpenVAS Tệp tin: 🔍
OpenVAS Gia đình: 🔍
MetaSploit ID: freepbx_callmenum.rb
MetaSploit Tên: FreePBX 2.10.0 / 2.9.0 callmenum Remote Code Execution
MetaSploit Tệp tin: 🔍
Exploit-DB: 🔍
Tình báo mối đe dọa
Sự quan tâm: 🔍Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍
Biện pháp đối phó
Khuyến nghị: Bản váTrạng thái: 🔍
Thời gian 0-ngày: 🔍
Thời gian trễ khai thác: 🔍
Bản vá: Unofficial Patch
dòng thời gian
20/03/2012 🔍20/03/2012 🔍
22/03/2012 🔍
22/03/2012 🔍
23/03/2012 🔍
26/03/2012 🔍
29/03/2012 🔍
06/09/2012 🔍
06/09/2012 🔍
13/01/2025 🔍
Nguồn
Khuyến cáo: archives.neohapsis.comNhà nghiên cứu: Martin Tschirsich
Tổ chức: Technische Universität Darmstadt
Trạng thái: Đã xác nhận
Xác nhận: 🔍
CVE: CVE-2012-4869 (🔍)
GCVE (CVE): GCVE-0-2012-4869
GCVE (VulDB): GCVE-100-4907
X-Force: 74174 - FreePBX callme_page.php command execution
SecurityFocus: 52630 - FreePBX Multiple Cross Site Scripting and Remote Command Execution Vulnerabilities
Secunia: 48475 - FreePBX Multiple Cross-Site Scripting Vulnerabilities, Less Critical
OSVDB: 80544
scip Labs: https://www.scip.ch/en/?labs.20161013
Xem thêm: 🔍
mục
Được tạo: 29/03/2012 17:30Đã cập nhật: 13/01/2025 03:37
Thay đổi: 29/03/2012 17:30 (81), 26/04/2018 10:46 (7), 13/01/2025 03:37 (16)
Hoàn chỉnh: 🔍
Cache ID: 216:2E8:103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Chưa có bình luận nào Ngôn ngữ: vi + km + en.
Vui lòng đăng nhập để bình luận