Kaltura mwEmbed حتى 2.96.rc1 DefaultSettings.php HTTP_X_FORWARDED_HOST البرمجة عبر المواقع
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
الملخص
تم أكتشاف ثغرة أمنية في Kaltura mwEmbed حتى 2.96.rc1. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية متواجدة في دالة غير معروفة من الملف includes/DefaultSettings.php. تؤدي عملية التلاعب بالوسيط HTTP_X_FORWARDED_HOST إلى البرمجة عبر المواقع. أسم الثغرة الأمنية هوCVE-2022-4876. يمكن البدأ بالهجوم هذا عن بعد. الإكسبلويت غير متوفرة. يوصى بترقية العنصر المتأثر.
التفاصيل
تم أكتشاف ثغرة أمنية في Kaltura mwEmbed حتى 2.96.rc1. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية متواجدة في دالة غير معروفة من الملف includes/DefaultSettings.php. تؤدي عملية التلاعب بالوسيط HTTP_X_FORWARDED_HOST إلى البرمجة عبر المواقع. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-79. تم الإعلان عن الثغرة 04/01/2023 تحت 4266. يمكن عرض الاستشارة من هنا github.com.
أسم الثغرة الأمنية هوCVE-2022-4876. يمكن البدأ بالهجوم هذا عن بعد. التفاصيل التقنية متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. الإكسبلويت غير متوفرة. يصرح مشروع MITRE ATT&CK بأن تقنية الهجوم هي T1059.007.
إذا وُجد غير معرفة، فإنه يُصرح به كـ غير معرفة. بلغ السعر التقديري لثغرة يوم الصفر في السوق السوداء حوالي $0-$5k.
حل هذه المشكلة ممكن عبر الترقية إلى الإصدار 2.96.rc2. النسخة الجديدة متوفرة الآن للتحميل من github.com. أسم الباتش التصحيحي هو13b8812ebc8c9fa034eed91ab35ba8423a528c0b. تصحيح المشكلة هذه يمكن تحميله من هنا github.com. يوصى بترقية العنصر المتأثر. يتضمن التحذير التعليق التالي:
ignore non valid hostname in HTTP_X_FORWARDED_HOST header (same regex as [the server](https://github.com/kaltura/server/blob/Rigel-18.6.0/infra/storage/file_transfer_managers/asperaMgr.class.php#L81))
منتج
المجهز
الأسم
النسخة
الرخصة
موقع إلكتروني
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 4.4VulDB الدرجة المؤقتة للميتا: 4.3
VulDB الدرجة الأساسية: 3.5
VulDB الدرجة المؤقتة: 3.4
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 6.1
NVD متجه: 🔍
CNA الدرجة الأساسية: 3.5
CNA متجه (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: البرمجة عبر المواقعCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
الحالة: غير معرفة
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الهجوم الفوري: 🔍
ترقية: mwEmbed 2.96.rc2
تصحيح: 13b8812ebc8c9fa034eed91ab35ba8423a528c0b
الجدول الزمني
04/01/2023 🔍04/01/2023 🔍
04/01/2023 🔍
28/01/2023 🔍
المصادر
منتج: github.comاستشارة: 4266
الحالة: مؤكد
CVE: CVE-2022-4876 (🔍)
GCVE (CVE): GCVE-0-2022-4876
GCVE (VulDB): GCVE-100-217427
إدخال
تم الإنشاء: 04/01/2023 11:07 PMتم التحديث: 28/01/2023 01:13 PM
التغييرات: 04/01/2023 11:07 PM (45), 28/01/2023 01:07 PM (2), 28/01/2023 01:13 PM (28)
كامل: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق