Lithium Forum 2017 Q1 Compose Message upload_url erweiterte Rechte

EintragHistoryDiffjsonxmlCTI

Eine Schwachstelle wurde in Lithium Forum 2017 Q1 entdeckt. Sie wurde als kritisch eingestuft. Davon betroffen ist unbekannter Code der Komponente Compose Message Handler. Durch die Manipulation des Arguments upload_url mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-918. Die Schwachstelle wurde am 20.02.2017 von Vibhuti R V Nath als VL-ID 2030 mittels Advisory (Website) herausgegeben. Bereitgestellt wird das Advisory unter vulnerability-lab.com. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2017-20106 gehandelt. Umgesetzt werden muss der Angriff lokal. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Er wird als proof-of-concept gehandelt. Der Exploit kann von vulnerability-lab.com heruntergeladen werden. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.

Feld	24.02.2017 15:59	17.08.2020 10:27	25.06.2022 18:21
vendor	Lithium	Lithium	Lithium
name	Forum	Forum	Forum
version	2017 Q1	2017 Q1	2017 Q1
component	Compose Message Handler	Compose Message Handler	Compose Message Handler
argument	upload_url	upload_url	upload_url
risk	2	2	2
cvss2_vuldb_basescore	4.1	4.1	4.1
cvss2_vuldb_tempscore	3.5	3.5	3.5
cvss2_vuldb_ci	P	P	P
cvss2_vuldb_ii	P	P	P
cvss2_vuldb_ai	P	P	P
cvss3_meta_basescore	5.3	5.3	5.3
cvss3_meta_tempscore	4.8	4.8	4.8
cvss3_vuldb_basescore	5.3	5.3	5.3
cvss3_vuldb_tempscore	4.8	4.8	4.8
cvss3_vuldb_c	L	L	L
cvss3_vuldb_i	L	L	L
cvss3_vuldb_a	L	L	L
date	1487548800 (20.02.2017)	1487548800 (20.02.2017)	1487548800 (20.02.2017)
location	Website	Website	Website
type	Advisory	Advisory	Advisory
url	https://www.vulnerability-lab.com/get_content.php?id=2030	https://www.vulnerability-lab.com/get_content.php?id=2030	https://www.vulnerability-lab.com/get_content.php?id=2030
identifier	VL-ID 2030	VL-ID 2030	VL-ID 2030
person_name	Vibhuti R V Nath	Vibhuti R V Nath	Vibhuti R V Nath
availability	1	1	1
date	1487548800 (20.02.2017)	1487548800 (20.02.2017)	1487548800 (20.02.2017)
publicity	1	1	1
url	https://www.vulnerability-lab.com/get_content.php?id=2030	https://www.vulnerability-lab.com/get_content.php?id=2030	https://www.vulnerability-lab.com/get_content.php?id=2030
price_0day	$0-$5k	$0-$5k	$0-$5k
cvss3_vuldb_ui	N	N	N
cvss2_vuldb_e	POC	POC	POC
cvss2_vuldb_rl	ND	ND	ND
cvss2_vuldb_rc	UR	UR	UR
cvss3_vuldb_e	P	P	P
cvss3_vuldb_rl	X	X	X
cvss3_vuldb_rc	R	R	R
cvss2_vuldb_av	L	L	L
cvss2_vuldb_ac	M	M	M
cvss2_vuldb_au	S	S	S
cvss3_vuldb_av	L	L	L
cvss3_vuldb_ac	L	L	L
cvss3_vuldb_pr	L	L	L
cvss3_vuldb_s	U	U	U
type		Forum Software	Forum Software
cwe	0	918 (erweiterte Rechte)	918 (erweiterte Rechte)
cve			CVE-2017-20106
responsible			VulDB

◂ Zurück Übersicht Weiter ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!