Icewarp Mail Server 10.1.3/10.2.0 na Windows Webmail Interface webmail/basic/index.html _c directory traversal
| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 6.6 | $0-$5k | 0.00 |
W Icewarp Mail Server 10.1.3/10.2.0 na Windows (Mail Server Software) została stwierdzona podatność. Problemem dotknięta jest nieznana funkcja w pliku webmail/basic/index.html w komponencie Webmail Interface. Dzięki manipulowaniu argumentem _c przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności directory traversal. Ma to wpływ na poufność, spójność i dostępność.
Błąd został odkryty w dniu 2010-11-19. Informacja o podatności została opublikowana w dniu 2010-12-06 przez osobę/y Ron Ott, Michael Schneider i Thomas Wittmann jako Advisory 2010120601 w formie potwierdzone raport (Website). Raport na temat podatności został udostępniony pod adresem gosecurity.ch. Producent współpracował przy koordynacji publikacji. Identyfikatorem tej podatności jest CVE-2010-5334. Eksploitacja luki jest uważana za łatwą. Możliwe jest zdalne zainicjowanie ataku. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Techniczne szczegóły i publiczny exploit są znane.
Exploit został stworzony przez Ron Ott/Michael Schneider/Thomas Wittmann i opublikowany później , niż raport o błędzie. Exploit można ściągnąć pod adresem gosecurity.ch. Uważa się go za proof-of-concept. Podatność ta była wykorzystywana w exploicie typu 0-day przez co najmniej 4 dni. Poprzez wyszukiwanie inurl:webmail/basic/index.html, możliwe jest odnajdowanie podatnych celów przy użyciu techniki Google Hacking.
Aktualizacja do wersji 10.2.1 eliminuje tę podatność. Potencjalne zabezpieczenie zostało opublikowane jeszcze przed po ujawnieniu podatności.
Produkt
Rodzaj
Sprzedawca
Imię
Wersja
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 7.4VulDB Wynik metatemperatury: 7.0
VulDB Wynik podstawowy: 7.3
VulDB Wynik tymczasowy: 6.6
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 7.5
NVD Wektor: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 🔍
Exploit
Klasa: Directory traversalCWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Dostęp: Publiczny
Status: Proof-of-Concept
Autor: Ron Ott/Michael Schneider/Thomas Wittmann
Pobierać: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: UpgradeStatus: 🔍
Czas reakcji: 🔍
0-dniowy czas: 🔍
Wykorzystaj czas opóźnienia: 🔍
Upgrade: Mail Server 10.2.1
Oś czasu
2010-11-19 🔍2010-11-22 🔍
2010-11-23 🔍
2010-11-23 🔍
2010-12-06 🔍
2010-12-06 🔍
2019-10-08 🔍
2019-10-11 🔍
2020-09-25 🔍
Źródła
Raport: Advisory 2010120601Badacz: Ron Ott, Michael Schneider, Thomas Wittmann
Status: Potwierdzone
Koordynowane: 🔍
CVE: CVE-2010-5334 (🔍)
scip Labs: https://www.scip.ch/en/?labs.20161013
Zobacz także: 🔍
Wpis
Stworzono: 2019-10-08 07:36Aktualizacje: 2020-09-25 16:51
Zmiany: 2019-10-08 07:36 (65), 2019-10-11 13:27 (4), 2019-10-11 13:28 (3), 2020-09-25 16:51 (1)
Kompletny: 🔍
Zgłaszający: misc
Committer: misc
Cache ID: 79:4D5:103
Submit
Przyjęty
- Submit #91: Multiple directory-traversal vulnerabilities in IceWarp Webclient (przez misc)
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.