handlebars Package bis 4.7.6 Prototype erweiterte Rechte

EintraganpassenHistoryDiffjsonxmlCTI
CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.0$0-$5k0.21

In handlebars Package bis 4.7.6 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Das betrifft ein unbekannter Codeblock der Komponente Prototype Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-94. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

The package handlebars before 4.7.7 are vulnerable to Prototype Pollution when selecting certain compiling options to compile templates coming from an untrusted source.

Die Schwachstelle wurde am 04.05.2021 als SNYK-JS-HANDLEBARS-1279029 an die Öffentlichkeit getragen. Das Advisory kann von snyk.io heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 08.01.2021 mit CVE-2021-23383 vorgenommen. Sie ist leicht auszunutzen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 4.7.7 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.

Produktinfoanpassen

Name

CPE 2.3infoanpassen

CPE 2.2infoanpassen

CVSSv3infoanpassen

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 7.0

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv2infoanpassen

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfoanpassen

Klasse: Erweiterte Rechte
CWE: CWE-94
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfoanpassen

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoanpassen

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: handlebars Package 4.7.7
Patch: github.com

Timelineinfoanpassen

08.01.2021 CVE zugewiesen
04.05.2021 +115 Tage Advisory veröffentlicht
04.05.2021 +0 Tage VulDB Eintrag erstellt
07.05.2021 +3 Tage VulDB letzte Aktualisierung

Quelleninfoanpassen

Advisory: SNYK-JS-HANDLEBARS-1279029
Status: Bestätigt

CVE: CVE-2021-23383 (🔒)

Eintraginfoanpassen

Erstellt: 04.05.2021 13:05
Aktualisierung: 07.05.2021 13:46
Anpassungen: (1) source_cve_cna
Komplett: 🔍

Kommentare

Might our Artificial Intelligence support you?

Check our Alexa App!