KDE ark bis 20.08.0 TAR Archive Directory Traversal

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.9$0-$5k0.00

Es wurde eine kritische Schwachstelle in KDE ark bis 20.08.0 entdeckt. Es geht dabei um ein unbekannter Teil. Durch Beeinflussen durch TAR Archive kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-22 vorgenommen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

In KDE Ark before 20.08.1, a crafted TAR archive with symlinks can install files outside the extraction directory, as demonstrated by a write operation to a user's home directory.

Die Schwachstelle wurde am 02.09.2020 (Website) publik gemacht. Das Advisory kann von lists.opensuse.org heruntergeladen werden. Die Verwundbarkeit wird seit dem 26.08.2020 unter CVE-2020-24654 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 20.08.1 vermag dieses Problem zu beheben.

Produktinfoanpassen

Hersteller

Name

CPE 2.3infoanpassen

CPE 2.2infoanpassen

CVSSv3infoanpassen

VulDB Meta Base Score: 6.2
VulDB Meta Temp Score: 6.0

VulDB Base Score: 6.1
VulDB Temp Score: 5.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 6.3
NVD Vector: 🔍

CVSSv2infoanpassen

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfoanpassen

Klasse: Directory Traversal
CWE: CWE-22
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfoanpassen

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfoanpassen

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: ark 20.08.1

Timelineinfoanpassen

26.08.2020 🔍
02.09.2020 +7 Tage 🔍
02.09.2020 +0 Tage 🔍
02.09.2020 +0 Tage 🔍

Quelleninfoanpassen

Hersteller: https://kde.org/

Advisory: lists.opensuse.org
Status: Nicht definiert
Bestätigung: 🔍

CVE: CVE-2020-24654 (🔍)

Eintraginfoanpassen

Erstellt: 02.09.2020 21:47
Aktualisierung: 02.09.2020 21:52
Anpassungen: (17) vulnerability_cwe vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a source_cve_assigned source_cve_nvd_summary
Komplett: 🔍

Kommentare

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Interested in the pricing of exploits?

See the underground prices here!