Lädt...

🕵️ tibsolutions ECommerce-TIBSECART File Upload erweiterte Rechte


Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com

In tibsolutions ECommerce-TIBSECART - die betroffene Version ist nicht bekannt - wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Es geht um eine unbekannte Funktion. Dank Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (File Upload) ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 11.01.2017 durch Ihsan Sencan als EDB-ID 41037 in Form eines ungeprüften Exploits (Exploit-DB) öffentlich gemacht. Bereitgestellt wird das Advisory unter exploit-db.com. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.

Ein öffentlicher Exploit wurde durch Ihsan Sencan entwickelt und sofort nach dem Advisory veröffentlicht. Der Exploit kann von exploit-db.com heruntergeladen werden.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

CVSSv3

Base Score: 6.3 [?]
Temp Score: 6.1 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:X/RC:R [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 6.5 (CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P) [?]
Temp Score: 6.2 (CVSS2#E:ND/RL:ND/RC:UR) [?]
Zuverlässigkeit: High

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: öffentlich
Autor: Ihsan Sencan
Download: exploit-db.com

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Exploit-DB: 41037

Gegenmassnahmen

Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt

Timeline

11.01.2017 Advisory veröffentlicht
11.01.2017 Exploit veröffentlicht
11.01.2017 EDB Eintrag veröffentlicht
13.01.2017 VulDB Eintrag erstellt
13.01.2017 VulDB letzte Aktualisierung

Quellen

Advisory: EDB-ID 41037
Person: Ihsan Sencan
Status: Ungeprüft

Eintrag

Erstellt: 13.01.2017
Eintrag: 73.2% komplett
...

matomo