ua-parser-js 0.7.29/0.8.0/1.0.0 auf NPM Crypto Mining erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.8$0-$5k0.00

Eine Schwachstelle wurde in ua-parser-js 0.7.29/0.8.0/1.0.0 auf NPM (NPM Package) ausgemacht. Sie wurde als kritisch eingestuft. Betroffen davon ist ein unbekannter Codeteil der Komponente Crypto Mining. Durch Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-912. Die exakten Auswirkungen einer erfolgreichen Attacke sind bis dato nicht bekannt.

Die Schwachstelle wurde am 27.10.2021 als GHSA-pjwm-rvh2-c87w herausgegeben. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2021-4229 gehandelt. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Es sind zwar keine technische Details, jedoch ein Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1588.001 aus.

Er wird als proof-of-concept gehandelt.

Ein Aktualisieren auf die Version 0.7.30, 0.8.1 oder 1.0.1 vermag dieses Problem zu lösen.

Produktinfo

Typ

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.0
VulDB Meta Temp Score: 4.8

VulDB Base Score: 5.0
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-912
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: ua-parser-js 0.7.30/0.8.1/1.0.1

Timelineinfo

27.10.2021 🔍
27.10.2021 +0 Tage 🔍
24.05.2022 +209 Tage 🔍

Quelleninfo

Advisory: GHSA-pjwm-rvh2-c87w
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2021-4229 (🔍)
scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 27.10.2021 07:26
Aktualisierung: 24.05.2022 15:44
Anpassungen: 27.10.2021 07:26 (41), 24.05.2022 15:44 (2)
Komplett: 🔍
Cache ID: 18:032:40

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!