phpBB حتى 3.3.10 Smiley Pack acp_icons.php main pak البرمجة عبر المواقع

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
3.6$0-$5k0.00

الملخصالمعلومات

تم أكتشاف ثغرة أمنية في phpBB حتى 3.3.10. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية متواجدة في الدالة main من الملف phpBB/includes/acp/acp_icons.php من العنصر Smiley Pack Handler. تؤدي عملية التلاعب بالوسيط pak إلى البرمجة عبر المواقع. أسم الثغرة الأمنية هوCVE-2023-5917. يمكن البدأ بالهجوم هذا عن بعد. الإكسبلويت غير متوفرة. يوصى بترقية العنصر المتأثر.

التفاصيلالمعلومات

تم أكتشاف ثغرة أمنية في phpBB حتى 3.3.10. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية متواجدة في الدالة main من الملف phpBB/includes/acp/acp_icons.php من العنصر Smiley Pack Handler. تؤدي عملية التلاعب بالوسيط pak إلى البرمجة عبر المواقع. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-79. تم الإعلان عن الثغرة 02/11/2023. يمكن عرض الاستشارة من هنا phpbb.com.

أسم الثغرة الأمنية هوCVE-2023-5917. يمكن البدأ بالهجوم هذا عن بعد. التفاصيل التقنية متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. الإكسبلويت غير متوفرة. يصرح مشروع MITRE ATT&CK بأن تقنية الهجوم هي T1059.007.

إذا وُجد غير معرفة، فإنه يُصرح به كـ غير معرفة. بلغ السعر التقديري لثغرة يوم الصفر في السوق السوداء حوالي $0-$5k.

حل هذه المشكلة ممكن عبر الترقية إلى الإصدار 3.3.11. النسخة الجديدة متوفرة الآن للتحميل من github.com. أسم الباتش التصحيحي هوccf6e6c255d38692d72fcb613b113e6eaa240aac. تصحيح المشكلة هذه يمكن تحميله من هنا github.com. يوصى بترقية العنصر المتأثر.

منتجالمعلومات

النوع

الأسم

النسخة

الرخصة

موقع إلكتروني

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 3.6
VulDB الدرجة المؤقتة للميتا: 3.6

VulDB الدرجة الأساسية: 2.4
VulDB الدرجة المؤقتة: 2.3
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 6.1
NVD متجه: 🔍

CNA الدرجة الأساسية: 2.4
CNA متجه (VulDB): 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: البرمجة عبر المواقع
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
الحالة: غير معرفة
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: ترقية
الحالة: 🔍

زمن الهجوم الفوري: 🔍

ترقية: phpBB 3.3.11
تصحيح: ccf6e6c255d38692d72fcb613b113e6eaa240aac

الجدول الزمنيالمعلومات

02/11/2023 🔍
02/11/2023 +0 أيام 🔍
02/11/2023 +0 أيام 🔍
30/11/2023 +28 أيام 🔍

المصادرالمعلومات

منتج: phpbb.com

استشارة: ccf6e6c255d38692d72fcb613b113e6eaa240aac
الحالة: مؤكد

CVE: CVE-2023-5917 (🔍)
GCVE (CVE): GCVE-0-2023-5917
GCVE (VulDB): GCVE-100-244307

إدخالالمعلومات

تم الإنشاء: 02/11/2023 07:03 AM
تم التحديث: 30/11/2023 08:47 AM
التغييرات: 02/11/2023 07:03 AM (45), 30/11/2023 08:43 AM (3), 30/11/2023 08:47 AM (28)
كامل: 🔍
المقدم: shin24
Cache ID: 216::103

إرسالالمعلومات

تمت الموافقة

  • إرسال #228345: Authenticated path traversal to Stored XSS and Denial-of-Service (بحسب shin24)

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

Do you want to use VulDB in your project?

Use the official API to access entries easily!