NYUCCL psiTurk bis 3.2.0 psiturk/experiment.py mode Privilege Escalation
In NYUCCL psiTurk bis 3.2.0 wurde eine kritische Schwachstelle gefunden. Das betrifft eine unbekannte Funktionalität der Datei psiturk/experiment.py. Mittels Manipulieren des Arguments mode mit unbekannten Daten kann eine Privilege Escalation-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-1336. Die Gefahr wurde am 27.01.2023 als 517 an die Öffentlichkeit getragen. Das Advisory kann von github.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2021-4315 vorgenommen. Der Angriff kann im lokalen Netzwerk angegangen werden. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1221. Er gilt als proof-of-concept. Der Exploit wird unter github.com zur Verfügung gestellt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Ein Aktualisieren auf die Version 3.2.1 vermag dieses Problem zu lösen. Eine neue Version kann von github.com bezogen werden. Der Patch wird als 47787e15cecd66f2aa87687bf852ae0194a4335f bezeichnet. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
58 weitere Einträge werden nicht mehr angezeigt