📚 Exponent CMS bis 2.4.0 rerank Blind SQL Injection
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In Exponent CMS bis 2.4.0 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Hierbei betrifft es eine unbekannte Funktion. Durch Manipulieren des Arguments rerank
mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle (Blind) ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 11.11.2016 an die Öffentlichkeit getragen. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-9272 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $1k-$2k zu rechnen.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
CVSSv3
Base Score: 6.3 [?]Temp Score: 6.3 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:X/RC:X [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: 6.0 (CVSS2#E:ND/RL:ND/RC:ND) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: SQL InjectionLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Timeline
11.11.2016 Advisory veröffentlicht11.11.2016 VulDB Eintrag erstellt
11.11.2016 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-9272 (mitre.org) (nvd.nist.org) (cvedetails.com)
Eintrag
Erstellt: 11.11.2016Eintrag: 70.2% komplett
...