SPIP bis 3.2.7 configurer_preferences.php unbekannte Schwachstelle

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
7.3$0-$5k0.07

Eine problematische Schwachstelle wurde in SPIP bis 3.2.7 (Content Management System) entdeckt. Es geht hierbei um ein unbekannter Codeblock der Datei prive/formulaires/configurer_preferences.php. Durch Beeinflussen des Arguments couleur/display/display_navigation/display_outils/imessage/spip_ecran mit einer unbekannten Eingabe kann eine unbekannte Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

prive/formulaires/configurer_preferences.php in SPIP before 3.2.8 does not properly validate the couleur, display, display_navigation, display_outils, imessage, and spip_ecran parameters.

Die Schwachstelle wurde am 24.11.2020 als ae4267eba1022dabc12831ddb021c5d6e09040f8 veröffentlicht. Das Advisory kann von git.spip.net heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 23.11.2020 als CVE-2020-28984 statt. Der Angriff kann im lokalen Netzwerk passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.

Ein Upgrade auf die Version 3.2.8 vermag dieses Problem zu beheben. Eine neue Version kann von git.spip.net bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches beheben. Dieser kann von git.spip.net bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.

Produktinfoedit

Typ

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 7.6
VulDB Meta Temp Score: 7.3

VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 9.8
NVD Vector: 🔒

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔒

Exploitinginfoedit

Klasse: Unbekannt
CWE: Unbekannt
ATT&CK: Unbekannt

Lokal: Nein
Remote: Teilweise

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: SPIP 3.2.8
Patch: git.spip.net

Timelineinfoedit

23.11.2020 CVE zugewiesen
24.11.2020 +1 Tage Advisory veröffentlicht
24.11.2020 +0 Tage VulDB Eintrag erstellt
10.12.2020 +16 Tage VulDB letzte Aktualisierung

Quelleninfoedit

Advisory: ae4267eba1022dabc12831ddb021c5d6e09040f8
Status: Bestätigt

CVE: CVE-2020-28984 (🔒)

Eintraginfoedit

Erstellt: 24.11.2020 08:15
Aktualisierung: 10.12.2020 09:01
Anpassungen: (18) vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai vulnerability_cvss3_meta_basescore vulnerability_cvss3_meta_tempscore vulnerability_cvss2_nvd_basescore vulnerability_cvss3_nvd_basescore
Komplett: 🔍

Kommentare

Might our Artificial Intelligence support you?

Check our Alexa App!