๐ BbAdminViewsControl auf EC-CUBE SQL Injection [CVE-2015-7784]
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 79989
Betroffen: BbAdminViewsControl
Veröffentlicht: 30.12.2015
Risiko: kritisch
Erstellt: 02.01.2016
Aktualisiert: 03.01.2016
Eintrag: 64.7% komplett
Beschreibung
Es wurde eine Schwachstelle in BbAdminViewsControl – die betroffene Version ist nicht klar definiert – auf EC-CUBE ausgemacht. Sie wurde als kritisch eingestuft. Betroffen hiervon ist eine unbekannte Funktion. Durch Manipulieren mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
SQL injection vulnerability in the BOKUBLOCK (1) BbAdminViewsControl213 plugin before 1.1 and (2) BbAdminViewsControl plugin before 2.1 for EC-CUBE allows remote authenticated users to execute arbitrary SQL commands via unspecified vectors.
Die Schwachstelle wurde am 30.12.2015 publiziert. Die Identifikation der Schwachstelle wird mit CVE-2015-7784 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Ein Aktualisieren vermag dieses Problem zu lösen.CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
Exploiting
Klasse: SQL Injection
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Timeline
30.12.2015 | Advisory veröffentlicht
02.01.2016 | VulDB Eintrag erstellt
03.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-7784 (mitre.org) (nvd.nist.org) (cvedetails.com)
...