GoDaddy node-config-shield bis 0.2.1 auf Node.js set Command scripts/cli.js erweiterte Rechte

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
5.2$0-$5k0.00

Eine kritische Schwachstelle wurde in GoDaddy node-config-shield bis 0.2.1 auf Node.js (JavaScript Library) gefunden. Davon betroffen ist unbekannter Code der Datei scripts/cli.js der Komponente set Command Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-284. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

** DISPUTED ** scripts/cli.js in the GoDaddy node-config-shield (aka Config Shield) package before 0.2.2 for Node.js calls eval when processing a set command. NOTE: the vendor reportedly states that this is not a vulnerability. The set command was not intended for use with untrusted data.

Die Schwachstelle wurde am 28.01.2021 als cdba5d3a7accd661ffbc52e208153464bd0d9da6 herausgegeben. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird seit dem 27.01.2021 mit der eindeutigen Identifikation CVE-2021-26276 gehandelt. Die Ausnutzbarkeit gilt als leicht. Umgesetzt werden kann der Angriff im lokalen Netzwerk. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1068 aus.

Bisher konnte die Existenz der vermeintlichen Schwachstelle noch nicht eindeutig nachgewiesen werden.

Ein Aktualisieren auf die Version 0.2.2 vermag dieses Problem zu lösen.

Produktinfoedit

Typ

Hersteller

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 5.4
VulDB Meta Temp Score: 5.2

VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 5.3
NVD Vector: 🔒

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔒

Exploitinginfoedit

Klasse: Erweiterte Rechte
CWE: CWE-284
ATT&CK: T1068

Lokal: Nein
Remote: Teilweise

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: node-config-shield 0.2.2

Timelineinfoedit

27.01.2021 CVE zugewiesen
28.01.2021 +1 Tage Advisory veröffentlicht
28.01.2021 +0 Tage VulDB Eintrag erstellt
21.02.2021 +24 Tage VulDB letzte Aktualisierung

Quelleninfoedit

Advisory: cdba5d3a7accd661ffbc52e208153464bd0d9da6
Status: Bestätigt
Infragegestellt: 🔍

CVE: CVE-2021-26276 (🔒)

Eintraginfoedit

Erstellt: 28.01.2021 08:44
Aktualisierung: 21.02.2021 07:17
Anpassungen: (18) vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai vulnerability_cvss3_meta_basescore vulnerability_cvss3_meta_tempscore vulnerability_cvss2_nvd_basescore vulnerability_cvss3_nvd_basescore
Komplett: 🔍

Kommentare

Do you want to use VulDB in your project?

Use the official API to access entries easily!