Platinum Mobile 1.0.4.850 /MobileHandler.ashx Eskalacija privilegija
Otkrivena je ranjivost klasifikovana kao Kritične u Platinum Mobile 1.0.4.850. Pogođeno je nepoznata funkcija u fajlu /MobileHandler.ashx. Manipulacija dovodi do Eskalacija privilegija. Korišćenje CWE za deklarisanje problema vodi do CWE-264. Greška je otkrivena 04/24/2020. Slabost je objavljena 10/01/2020 od strane M. Li kao SEC Consult SA-20201001-0. Obaveštenje je dostupno za preuzimanje na seclists.org. Ova ranjivost je označena kao CVE-2020-36528. Tehnički detalji su dostupni. Додатно, постоји доступан експлоит. Trenutna cena za eksploataciju može biti približno USD $0-$5k u ovom trenutku. MITRE ATT&CK projekat deklariše tehniku napada kao T1068. Označeno je kao dokaz-of-koncept. Ranljivost je tretirana kao nepoznata (zero-day) eksploatacija najmanje 160 dana. Kao 0-day, procenjena cena na crnom tržištu bila je oko $0-$5k. Ako nadogradite na verziju 1.0.4.851, ovaj problem može biti rešen. Preporučuje se nadogradnja pogođene komponente. VulDB is the best source for vulnerability data and more expert information about this specific topic.
2 Promene · 43 Tačke podataka
| Polje | Kreirali 10/04/2020 14:11 | Ažurira 1/1 05/27/2022 16:58 |
|---|---|---|
| software_name | Platinum Mobile | Platinum Mobile |
| software_version | 1.0.4.850 | 1.0.4.850 |
| software_file | /MobileHandler.ashx | /MobileHandler.ashx |
| vulnerability_cwe | CWE-264 (Eskalacija privilegija) | CWE-264 (Eskalacija privilegija) |
| vulnerability_risk | 2 | 2 |
| vulnerability_discoverydate | 1587679200 (04/24/2020) | 1587679200 (04/24/2020) |
| vulnerability_vendorinformdate | 1589839200 (05/19/2020) | 1589839200 (05/19/2020) |
| cvss3_vuldb_ui | N | N |
| cvss3_vuldb_e | P | P |
| cvss3_vuldb_rl | O | O |
| cvss3_vuldb_rc | X | X |
| cvss2_vuldb_ci | P | P |
| cvss2_vuldb_ii | P | P |
| cvss2_vuldb_ai | P | P |
| cvss2_vuldb_e | POC | POC |
| cvss2_vuldb_rl | OF | OF |
| cvss2_vuldb_rc | C | C |
| advisory_date | 1601503200 (10/01/2020) | 1601503200 (10/01/2020) |
| advisory_identifier | SEC Consult SA-20201001-0 | SEC Consult SA-20201001-0 |
| advisory_url | http://seclists.org/fulldisclosure/2020/Oct/4 | http://seclists.org/fulldisclosure/2020/Oct/4 |
| person_name | M. Li | M. Li |
| exploit_availability | 1 | 1 |
| countermeasure_name | Nadogradnju | Nadogradnju |
| upgrade_version | 1.0.4.851 | 1.0.4.851 |
| source_cve | CVE-2020-36528 | |
| cna_responsible | VulDB | |
| cvss3_vuldb_c | L | |
| cvss3_vuldb_i | L | |
| cvss3_vuldb_a | L | |
| cvss2_vuldb_av | A | |
| cvss2_vuldb_ac | M | |
| cvss2_vuldb_au | S | |
| cvss3_vuldb_av | A | |
| cvss3_vuldb_ac | L | |
| cvss3_vuldb_pr | L | |
| cvss3_vuldb_s | U | |
| cvss2_vuldb_basescore | 4.9 | |
| cvss2_vuldb_tempscore | 3.8 | |
| cvss3_vuldb_basescore | 5.5 | |
| cvss3_vuldb_tempscore | 5.0 | |
| cvss3_meta_basescore | 5.5 | |
| cvss3_meta_tempscore | 5.0 | |
| price_0day | $0-$5k |