Synology Calendar bis 2.0.1 Access Control SYNO.Cal.EventBase erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.2$0-$5k0.00

Zusammenfassunginfo

In Synology Calendar bis 2.0.1 wurde eine kritische Schwachstelle entdeckt. Dabei geht es um die Funktion SYNO.Cal.EventBase der Komponente Access Control. Mittels dem Manipulieren mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2017-15891 vorgenommen. Der Angriff lässt sich über das Netzwerk starten. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.

Detailsinfo

Es wurde eine Schwachstelle in Synology Calendar bis 2.0.1 (Calendar Software) gefunden. Sie wurde als kritisch eingestuft. Es geht dabei um die Funktion SYNO.Cal.EventBase der Komponente Access Control. Dank der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-284 vorgenommen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

Improper access control vulnerability in SYNO.Cal.EventBase in Synology Calendar before 2.0.1-0242 allows remote authenticated users to modify calendar event via unspecified vectors.

Entdeckt wurde das Problem am 08.12.2017. Die Schwachstelle wurde am 08.12.2017 (Website) publik gemacht. Das Advisory kann von synology.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 25.10.2017 unter CVE-2017-15891 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1068.

Ein Upgrade auf die Version 2.0.1-0242 vermag dieses Problem zu beheben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.4
VulDB Meta Temp Score: 6.2

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 6.5
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Calendar 2.0.1-0242

Timelineinfo

25.10.2017 🔍
08.12.2017 +44 Tage 🔍
08.12.2017 +0 Tage 🔍
08.12.2017 +0 Tage 🔍
09.12.2017 +1 Tage 🔍
17.01.2023 +1865 Tage 🔍

Quelleninfo

Hersteller: synology.com

Advisory: SA_17_68
Status: Nicht definiert
Bestätigung: 🔍

CVE: CVE-2017-15891 (🔍)
GCVE (CVE): GCVE-0-2017-15891
GCVE (VulDB): GCVE-100-110352

Eintraginfo

Erstellt: 09.12.2017 11:39
Aktualisierung: 17.01.2023 09:50
Anpassungen: 09.12.2017 11:39 (59), 12.12.2019 21:28 (2), 17.01.2023 09:50 (4)
Komplett: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!