📚 Epiphany Cardio Server 3.3 URL Handler SQL Injection
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 79909
Betroffen: Epiphany Cardio Server 3.3
Veröffentlicht: 27.12.2015
Risiko: kritisch
Erstellt: 28.12.2015
Eintrag: 64.7% komplett
Beschreibung
In Epiphany Cardio Server 3.3 wurde eine kritische Schwachstelle ausgemacht. Hierbei betrifft es eine unbekannte Funktion der Komponente URL Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
SQL injection vulnerability in the login page in Epiphany Cardio Server 3.3 allows remote attackers to execute arbitrary SQL commands via a crafted URL.
Die Schwachstelle wurde am 27.12.2015 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2015-6537 geführt. Der Angriff kann über das Netzwerk angegangen werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 6.0 (CVSS2#E:ND/RL:ND/RC:ND) [?]
CPE
Exploiting
Klasse: SQL Injection
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $2k-$5k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden
Timeline
27.12.2015 | Advisory veröffentlicht
28.12.2015 | VulDB Eintrag erstellt
28.12.2015 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-6537 (mitre.org) (nvd.nist.org) (cvedetails.com)
...