total.js Metacharacter /api/common/ping host erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.0$0-$5k0.31

In total.js - eine genaue Versionsangabe ist nicht möglich - (JavaScript Library) wurde eine kritische Schwachstelle gefunden. Es geht um eine unbekannte Funktion der Datei /api/common/ping der Komponente Metacharacter Handler. Durch Beeinflussen des Arguments host mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-78. Die genauen Auswirkungen eines erfolgreichen Angriffs sind bisher nicht bekannt. CVE fasst zusammen:

In Total.js 4 before 0e5ace7, /api/common/ping can achieve remote command execution via shell metacharacters in the host parameter.

Die Schwachstelle wurde am 31.10.2022 als 12 an die Öffentlichkeit getragen. Auf github.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 29.10.2022 mit CVE-2022-44019 vorgenommen. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. MITRE ATT&CK führt die Angriffstechnik T1202 für diese Schwachstelle.

Die Schwachstelle lässt sich durch das Einspielen des Patches 0e5ace7 beheben.

Produktinfo

Typ

Name

CPE 2.3info

CPE 2.2info

Video

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 6.0

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-78 / CWE-74 / CWE-707
ATT&CK: T1202

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔒

Patch: 0e5ace7

Timelineinfo

29.10.2022 CVE zugewiesen
31.10.2022 +2 Tage Advisory veröffentlicht
31.10.2022 +0 Tage VulDB Eintrag erstellt
31.10.2022 +0 Tage VulDB letzte Aktualisierung

Quelleninfo

Advisory: 12
Status: Bestätigt

CVE: CVE-2022-44019 (🔒)

Eintraginfo

Erstellt: 31.10.2022 18:12
Anpassungen: 31.10.2022 18:12 (43)
Komplett: 🔍

Diskussion

rezaduty (+0)
25 days ago
I like it
good job

Do you want to use VulDB in your project?

Use the official API to access entries easily!