CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
7.3 | $0-$5k | 0.18 |
In jeecgboot JimuReport bis 1.6.0 (Reporting Software) wurde eine kritische Schwachstelle ausgemacht. Das betrifft eine unbekannte Funktionalität der Komponente Template Handler. Durch Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-74. Es ist nicht bekannt, inwiefern sich eine durchgesetzte Attacke genau auswirken wird.
Die Schwachstelle wurde am 20.08.2023 öffentlich gemacht. Das Advisory findet sich auf github.com. Die Verwundbarkeit wird als CVE-2023-4450 geführt. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1055 bezeichnet.
Unter github.com wird der Exploit zur Verfügung gestellt. Er wird als proof-of-concept gehandelt.
Ein Aktualisieren auf die Version 1.6.1 vermag dieses Problem zu lösen.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔒VulDB CVSS-BT Score: 🔒
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 7.3
VulDB Base Score: 6.3
VulDB Temp Score: 5.7
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔒
CNA Base Score: 6.3
CNA Vector (VulDB): 🔒
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔒
Exploiting
Klasse: Erweiterte RechteCWE: CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: JimuReport 1.6.1
Timeline
20.08.2023 Advisory veröffentlicht20.08.2023 CVE zugewiesen
20.08.2023 VulDB Eintrag erstellt
13.09.2023 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: github.comStatus: Bestätigt
CVE: CVE-2023-4450 (🔒)
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 20.08.2023 09:43Aktualisierung: 13.09.2023 22:31
Anpassungen: 20.08.2023 09:43 (43), 13.09.2023 22:19 (2), 13.09.2023 22:31 (28)
Komplett: 🔍
Einsender: keecth
Submit
Akzeptiert
- Submit #197256: jimureport ssti(RCE) (von keecth)
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.