📚 Wickr Secret Messenger 2.2.1 CFLite.dll name/password Denial of Service
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In Wickr Secret Messenger 2.2.1 wurde eine problematische Schwachstelle ausgemacht. Das betrifft eine unbekannte Funktion der Datei CFLite.dll. Durch Manipulieren des Arguments name/password
mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Verfügbarkeit.
Die Schwachstelle wurde am 27.10.2016 als Wickr Inc - When honesty disappears behind the VCP Mountain in Form eines bestätigten Blog Posts (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter vulnerability-db.com. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Es wurde direkt nach dem Advisory ein Exploit veröffentlicht. Er wird als proof-of-concept gehandelt. Unter vulnerability-db.com wird der Exploit zum Download angeboten.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Von weiterem Interesse können die folgenden Einträge sein: 93212, 93213, 93214 und 93215.
Video
Youtube: https://youtu.be/yXgcKO4cxzQCVSSv3
Base Score: 5.3 [?]Temp Score: 5.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:P/RL:X/RC:C [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P) [?]Temp Score: 3.9 (CVSS2#E:POC/RL:ND/RC:C) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Denial of ServiceLokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Download: vulnerability-db.com
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt
Timeline
27.10.2016 Advisory veröffentlicht27.10.2016 Exploit veröffentlicht
31.10.2016 VulDB Eintrag erstellt
31.10.2016 VulDB letzte Aktualisierung
Quellen
Advisory: Wickr Inc - When honesty disappears behind the VCP MountainStatus: Bestätigt
Siehe auch: 93212, 93213, 93214, 93215, 93216, 93217
Eintrag
Erstellt: 31.10.2016Eintrag: 75.8% komplett
...