📚 Foreman bis 1.11.2 API erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In Foreman bis 1.11.2 wurde eine kritische Schwachstelle entdeckt. Dabei geht es um eine unbekannte Funktion der Komponente API. Dank Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 19.08.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2016-4451 geführt. Der Angriff kann über das Netzwerk angegangen werden. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $0-$1k gehandelt werden wird.
Ein Aktualisieren auf die Version 1.11.3 vermag dieses Problem zu lösen.
Von weiterem Interesse können die folgenden Einträge sein: 90884, 90885 und 90886.
CVSSv3
Base Score: 6.3 [?]Temp Score: 6.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Foreman 1.11.3
Timeline
19.08.2016 Advisory veröffentlicht20.08.2016 VulDB Eintrag erstellt
20.08.2016 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-4451 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 90884, 90885, 90886
Eintrag
Erstellt: 20.08.2016Eintrag: 71.2% komplett
...