jeecg-boot /api/ file erweiterte Rechte

EintragHistoryDiffjsonxmlCTI

In jeecg-boot wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Hierbei betrifft es unbekannten Programmcode der Datei /api/. Durch Manipulation des Arguments file mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-434. Die Gefahr wurde am 04.08.2022 an die Öffentlichkeit getragen. Auf cnblogs.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2022-2647 vorgenommen. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. MITRE ATT&CK führt die Angriffstechnik T1608.002 für diese Schwachstelle. Er gilt als proof-of-concept. Unter cnblogs.com wird der Exploit bereitgestellt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.

Feld	04.08.2022 09:52	30.08.2022 11:02
name	jeecg-boot	jeecg-boot
file	/api/	/api/
argument	file	file
cwe	434 (erweiterte Rechte)	434 (erweiterte Rechte)
risk	2	2
cvss3_vuldb_av	N	N
cvss3_vuldb_ac	L	L
cvss3_vuldb_pr	N	N
cvss3_vuldb_ui	N	N
cvss3_vuldb_s	U	U
cvss3_vuldb_c	L	L
cvss3_vuldb_i	L	L
cvss3_vuldb_a	L	L
cvss3_vuldb_e	P	P
cvss3_vuldb_rc	R	R
url	https://www.cnblogs.com/J0o1ey/p/16550583.html	https://www.cnblogs.com/J0o1ey/p/16550583.html
availability	1	1
publicity	1	1
url	https://www.cnblogs.com/J0o1ey/p/16550583.html	https://www.cnblogs.com/J0o1ey/p/16550583.html
cve	CVE-2022-2647	CVE-2022-2647
responsible	VulDB	VulDB
date	1659564000 (04.08.2022)	1659564000 (04.08.2022)
cvss2_vuldb_av	N	N
cvss2_vuldb_ac	L	L
cvss2_vuldb_au	N	N
cvss2_vuldb_ci	P	P
cvss2_vuldb_ii	P	P
cvss2_vuldb_ai	P	P
cvss2_vuldb_e	POC	POC
cvss2_vuldb_rc	UR	UR
cvss2_vuldb_rl	ND	ND
cvss3_vuldb_rl	X	X
cvss2_vuldb_basescore	7.5	7.5
cvss2_vuldb_tempscore	6.4	6.4
cvss3_vuldb_basescore	7.3	7.3
cvss3_vuldb_tempscore	6.6	6.6
cvss3_meta_basescore	7.3	7.3
cvss3_meta_tempscore	6.6	6.6
price_0day	$0-$5k	$0-$5k
cve_assigned		1659564000 (04.08.2022)
cve_nvd_summary		A vulnerability was found in jeecg-boot. It has been declared as critical. This vulnerability affects unknown code of the file /api/. The manipulation of the argument file leads to unrestricted upload. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-205594 is the identifier assigned to this vulnerability.

◂ Zurück Übersicht Weiter ▸

Do you need the next level of professionalism?

Upgrade your account now!