📚 Honeywell XL Web II/XLWeb 500 Directory Traversal [CVE-2017-5143]
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine Schwachstelle wurde in Honeywell XL Web II sowie XLWeb 500 - eine genaue Versionsangabe steht aus - ausgemacht. Sie wurde als kritisch eingestuft. Hierbei geht es um eine unbekannte Funktion. Durch Manipulieren mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit und Integrität. Die Zusammenfassung von CVE lautet:
An issue was discovered in Honeywell XL Web II controller XL1000C500 XLWebExe-2-01-00 and prior, and XLWeb 500 XLWebExe-1-02-08 and prior. A user without authenticating can make a directory traversal attack by accessing a specific URL.
Die Schwachstelle wurde am 13.02.2017 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2017-5143 gehandelt. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 02/14/2017).
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Mit dieser Schwachstelle verwandte Einträge finden sich unter 96925, 96926, 96927 und 96928.
CVSSv3
Base Score: ≈5.4Temp Score: ≈5.4
Vector: CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N/E:X/RL:X/RC:X
Zuverlässigkeit: Low
CVSSv2
Base Score: ≈3.3 (CVSS2#AV:A/AC:M/Au:N/C:P/I:P/A:N)Temp Score: ≈3.3 (CVSS2#E:ND/RL:ND/RC:ND)
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Directory TraversalLokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Timeline
13.02.2017 Advisory veröffentlicht14.02.2017 VulDB Eintrag erstellt
14.02.2017 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2017-5143 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 96925, 96926, 96927, 96928
Eintrag
Erstellt: 14.02.2017Aktualisierung: 14.02.2017
Eintrag: 66% komplett
...