1. Reverse Engineering >
  2. Exploits >
  3. keycloak-httpd-client-install bis 0.8 Command Line Information Disclosure


ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese

keycloak-httpd-client-install bis 0.8 Command Line Information Disclosure

RSS Kategorie Pfeil Exploits vom | Quelle: vuldb.com Direktlink öffnen

In keycloak-httpd-client-install bis 0.8 wurde eine problematische Schwachstelle gefunden. Betroffen ist eine unbekannte Funktion der Komponente Command Line. Durch Manipulieren mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-200. Mit Auswirkungen muss man rechnen für die Vertraulichkeit.

Die Schwachstelle wurde am 20.01.2018 (GitHub Repository) an die Öffentlichkeit getragen. Das Advisory kann von github.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 08.10.2017 mit CVE-2017-15112 vorgenommen. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 01/20/2018).

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Schwachstellen ähnlicher Art sind dokumentiert unter 112251.

CVSSv3

VulDB Base Score: 3.3
VulDB Temp Score: 3.1
VulDB Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:X/RL:X/RC:U
VulDB Zuverlässigkeit: High

CVSSv2

VulDB Base Score: 1.5 (CVSS2#AV:L/AC:M/Au:S/C:P/I:N/A:N)
VulDB Temp Score: 1.4 (CVSS2#E:ND/RL:ND/RC:UC)
VulDB Zuverlässigkeit: High

CPE

Exploiting

Klasse: Information Disclosure (CWE-200)
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden

Timeline

08.10.2017 CVE zugewiesen
20.01.2018 Advisory veröffentlicht
20.01.2018 VulDB Eintrag erstellt
20.01.2018 VulDB letzte Aktualisierung

Quellen

Advisory: github.com
Status: Unbestätigt

CVE: CVE-2017-15112 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 112251

Eintrag

Erstellt: 20.01.2018
Eintrag: 70.4% komplett
...

Webseite öffnen Komplette Webseite öffnen

Newsbewertung

Kommentiere zu keycloak-httpd-client-install bis 0.8 Command Line Information Disclosure






Ähnliche Beiträge