react-dev-utils bis 5.0.3 auf Windows Webserver Network Request Cross Site Request Forgery
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.8 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in react-dev-utils bis 1.0.3/2.0.1/3.1.1/4.2.1/5.0.3 für Windows gefunden. Sie wurde als problematisch eingestuft. Es geht dabei um eine nicht klar definierte Funktion der Komponente Webserver. Dank der Manipulation durch Network Request kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2018-6342 vorgenommen. Der Angriff muss lokal angegangen werden. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Eine Schwachstelle wurde in react-dev-utils bis 1.0.3/2.0.1/3.1.1/4.2.1/5.0.3 auf Windows (JavaScript Library) entdeckt. Sie wurde als problematisch eingestuft. Betroffen davon ist ein unbekannter Codeteil der Komponente Webserver. Mit der Manipulation durch Network Request kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-352. Die Auswirkungen sind bekannt für die Integrität. Die Zusammenfassung von CVE lautet:
react-dev-utils on Windows allows developers to run a local webserver for accepting various commands, including a command to launch an editor. The input to that command was not properly sanitized, allowing an attacker who can make a network request to the server (either via CSRF or by direct request) to execute arbitrary commands on the targeted system. This issue affects multiple branches: 1.x.x prior to 1.0.4, 2.x.x prior to 2.0.2, 3.x.x prior to 3.1.2, 4.x.x prior to 4.2.2, and 5.x.x prior to 5.0.2.Die Entdeckung des Problems geschah am 22.08.2018. Die Schwachstelle wurde am 31.12.2018 (Website) herausgegeben. Das Advisory findet sich auf github.com. Die Verwundbarkeit wird seit dem 26.01.2018 mit der eindeutigen Identifikation CVE-2018-6342 gehandelt. Umgesetzt werden muss der Angriff lokal. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Es dauerte mindestens 131 Tage, bis diese Zero-Day Schwachstelle öffentlich gemacht wurde. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 91519 (React-Dev-Utils Remote Code Execution Vulnerability) zur Prüfung der Schwachstelle an.
Ein Aktualisieren auf die Version 1.0.4, 2.0.2, 3.1.2, 4.2.2 oder 5.0.2 vermag dieses Problem zu lösen.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.9VulDB Meta Temp Score: 6.8
VulDB Base Score: 4.0
VulDB Temp Score: 3.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site Request ForgeryCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: react-dev-utils 1.0.4/2.0.2/3.1.2/4.2.2/5.0.2
Patch: github.com
Timeline
26.01.2018 🔍22.08.2018 🔍
31.12.2018 🔍
31.12.2018 🔍
01.01.2019 🔍
06.05.2025 🔍
Quellen
Advisory: github.comStatus: Bestätigt
CVE: CVE-2018-6342 (🔍)
GCVE (CVE): GCVE-0-2018-6342
GCVE (VulDB): GCVE-100-128603
Eintrag
Erstellt: 01.01.2019 12:02Aktualisierung: 06.05.2025 22:34
Anpassungen: 01.01.2019 12:02 (62), 25.04.2020 16:31 (1), 22.06.2023 15:36 (5), 06.05.2025 22:34 (23)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.