Drupal حتى 8.9.18/9.1.12/9.2.5 HTTP API تجاوز الصلاحيات
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
الملخص
تم أيجاد ثغرة أمنية بصنف خطيرة. في Drupal حتى 8.9.18/9.1.12/9.2.5. تتأثر الوظيفة $software_function من المكون HTTP API. تؤدي عملية التلاعب إلى تجاوز الصلاحيات.
يتم تداول هذه الثغرة تحت اسم CVE-2020-13675. الإكسبلويت غير متوفرة.
من المستحسن ترقية المكون المتضرر.
التفاصيل
تم أيجاد ثغرة أمنية بصنف خطيرة. في Drupal حتى 8.9.18/9.1.12/9.2.5. تتأثر الوظيفة $software_function من المكون HTTP API. تؤدي عملية التلاعب إلى تجاوز الصلاحيات. عبر استخدام CWE في وصف المشكلة، سيتم الإشارة إلى CWE-434. المشكلة تم نشرها بتاريخ 18/09/2021 كـ sa-core-2021-008. الاستشارة متوفرة هنا drupal.org.
يتم تداول هذه الثغرة تحت اسم CVE-2020-13675. التفاصيل التقنية غير متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. الإكسبلويت غير متوفرة. يحدد مشروع MITRE ATT&CK تقنية الهجوم على أنها T1608.002.
إذا كان هناك قيمة لـ غير معرفة، فسيتم التصريح بأنه غير معرفة. باعتباره ثغرة يوم الصفر، كان السعر التقديري في السوق السوداء حوالي $0-$5k.
الترقية إلى الإصدار 8.9.19, 9.1.13 , 9.2.6 قادرة على حل هذه المشكلة. من المستحسن ترقية المكون المتضرر.
منتج
النوع
الأسم
النسخة
- 8.9.0
- 8.9.1
- 8.9.2
- 8.9.3
- 8.9.4
- 8.9.5
- 8.9.6
- 8.9.7
- 8.9.8
- 8.9.9
- 8.9.10
- 8.9.11
- 8.9.12
- 8.9.13
- 8.9.14
- 8.9.15
- 8.9.16
- 8.9.17
- 8.9.18
- 9.1.0
- 9.1.1
- 9.1.2
- 9.1.3
- 9.1.4
- 9.1.5
- 9.1.6
- 9.1.7
- 9.1.8
- 9.1.9
- 9.1.10
- 9.1.11
- 9.1.12
- 9.2.0
- 9.2.1
- 9.2.2
- 9.2.3
- 9.2.4
- 9.2.5
الرخصة
موقع إلكتروني
- منتج: https://www.drupal.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 5.5VulDB الدرجة المؤقتة للميتا: 5.3
VulDB الدرجة الأساسية: 5.5
VulDB الدرجة المؤقتة: 5.3
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
استغلال
الفئة: تجاوز الصلاحياتCWE: CWE-434 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: جزئي
التوفر: 🔍
الحالة: غير معرفة
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الهجوم الفوري: 🔍
ترقية: Drupal 8.9.19/9.1.13/9.2.6
الجدول الزمني
28/05/2020 🔍18/09/2021 🔍
18/09/2021 🔍
22/09/2021 🔍
المصادر
منتج: drupal.orgاستشارة: sa-core-2021-008
الحالة: مؤكد
CVE: CVE-2020-13675 (🔍)
GCVE (CVE): GCVE-0-2020-13675
GCVE (VulDB): GCVE-100-182891
إدخال
تم الإنشاء: 18/09/2021 09:21 AMتم التحديث: 22/09/2021 05:12 PM
التغييرات: 18/09/2021 09:21 AM (39), 22/09/2021 05:12 PM (1)
كامل: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق