📚 Cloud Foundry UAA Log Handler erweiterte Rechte [CVE-2016-6659]
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine Schwachstelle wurde in Cloud Foundry - eine genaue Versionsangabe steht aus - entdeckt. Sie wurde als kritisch eingestuft. Dies betrifft eine unbekannte Funktion der Komponente UAA Log Handler. Durch Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Cloud Foundry before 248; UAA 2.x before 2.7.4.12, 3.x before 3.6.5, and 3.7.x through 3.9.x before 3.9.3; and UAA bosh release (aka uaa-release) before 13.9 for UAA 3.6.5 and before 24 for UAA 3.9.3 allow attackers to gain privileges by accessing UAA logs and subsequently running a specially crafted application that interacts with a configured SAML provider.
Die Schwachstelle wurde am 23.12.2016 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-6659 gehandelt. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Ein Aktualisieren vermag dieses Problem zu lösen.
CVSSv3
Base Score: ≈5.5 [?]Temp Score: ≈5.3 [?]
Vector: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Low
CVSSv2
Base Score: ≈4.1 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: ≈3.6 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Timeline
23.12.2016 Advisory veröffentlicht23.12.2016 VulDB Eintrag erstellt
23.12.2016 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-6659 (mitre.org) (nvd.nist.org) (cvedetails.com)
Eintrag
Erstellt: 23.12.2016Eintrag: 66.8% komplett
...