CVE-2017-17097

CVE

КритическийПодтвержденаЭксплойт есть

gps-server.net GPS Tracking Software (самостоятельный хостинг) 2.x имеет процедуру сброса пароля, которая немедленно сбрасывает пароли по н…

CVSS

9.8

Критический

EPSS

0.37

p97

Опубликовано

2017-01-01

Обновлено

2017-01-01

Описание

gps-server.net GPS Tracking Software (самостоятельный хостинг) 2.x имеет процедуру сброса пароля, которая немедленно сбрасывает пароли по неаутентифицированному запросу, а затем отправляет электронное письмо с предсказуемым (на основе даты) паролем администратору, что облегчает удаленным злоумышленникам получение доступа путем предсказания этого нового пароля. Это связано с использованием gmdate для создания пароля в fn_connect.php.

Теги · CWE

Без аутентификации

CWE-640

CAPEC-50

Затронутые продукты

Gps_tracking_software

Вектор CVSS

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Хронология

2017-01-01

Опубликована

2017-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: H

Высокое (H)

Воздействие на доступность

A: H

Высокое (H)

Индикаторы эксплуатации

EPSS

0.369 · p97

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

43431

exploitdb · https://www.exploit-db.com/exploits/43431

Enterprise

Уязвимое ПО

Продукт	Вендор	Статус
gps_tracking_software	*	Отслеживается

Источники данных

CVE