GoDaddy node-config-shield bis 0.2.1 auf Node.js set Command scripts/cli.js erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Eine kritische Schwachstelle wurde in GoDaddy node-config-shield bis 0.2.1 auf Node.js (JavaScript Library) gefunden. Davon betroffen ist unbekannter Code der Datei scripts/cli.js der Komponente set Command Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-284. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
** DISPUTED ** scripts/cli.js in the GoDaddy node-config-shield (aka Config Shield) package before 0.2.2 for Node.js calls eval when processing a set command. NOTE: the vendor reportedly states that this is not a vulnerability. The set command was not intended for use with untrusted data.Die Schwachstelle wurde am 28.01.2021 als cdba5d3a7accd661ffbc52e208153464bd0d9da6 herausgegeben. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird seit dem 27.01.2021 mit der eindeutigen Identifikation CVE-2021-26276 gehandelt. Die Ausnutzbarkeit gilt als leicht. Umgesetzt werden kann der Angriff im lokalen Netzwerk. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1068 aus.
Bisher konnte die Existenz der vermeintlichen Schwachstelle noch nicht eindeutig nachgewiesen werden.
Ein Aktualisieren auf die Version 0.2.2 vermag dieses Problem zu lösen.
Produkt
Typ
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.2
VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.3
NVD Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| Vector | Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| unlock | unlock | unlock | unlock | unlock | unlock |
| unlock | unlock | unlock | unlock | unlock | unlock |
| unlock | unlock | unlock | unlock | unlock | unlock |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔒
Exploiting
Klasse: Erweiterte RechteCWE: CWE-284
ATT&CK: T1068
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔒
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | unlock | unlock | unlock | unlock |
|---|---|---|---|---|
| Heute | unlock | unlock | unlock | unlock |
Threat Intelligence
Bedrohungslage: 🔍Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: node-config-shield 0.2.2
Timeline
27.01.2021 CVE zugewiesen28.01.2021 Advisory veröffentlicht
28.01.2021 VulDB Eintrag erstellt
21.02.2021 VulDB letzte Aktualisierung
Quellen
Advisory: cdba5d3a7accd661ffbc52e208153464bd0d9da6Status: Bestätigt
Infragegestellt: 🔍
CVE: CVE-2021-26276 (🔒)
Eintrag
Erstellt: 28.01.2021 08:44Aktualisierung: 21.02.2021 07:17
Anpassungen: (18) vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai vulnerability_cvss3_meta_basescore vulnerability_cvss3_meta_tempscore vulnerability_cvss2_nvd_basescore vulnerability_cvss3_nvd_basescore
Komplett: 🔍
Kommentare
Do you want to use VulDB in your project?
Use the official API to access entries easily!
Bisher keine Kommentare. Bitte loggen Sie sich ein, um kommentieren zu können.