codecov-node bis 3.6.4 auf npm Incomplete Fix CVE-2020-7596 lib/codecov.js exec gcov-root erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.4 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in codecov-node bis 3.6.4 für npm ausgemacht. Sie wurde als kritisch eingestuft. Betroffen ist die Funktion exec in der Bibliothek lib/codecov.js der Komponente Incomplete Fix CVE-2020-7596. Durch das Manipulieren des Arguments gcov-root durch Argument kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden.
Diese Sicherheitslücke ist unter CVE-2020-7597 bekannt. Ein Angriff ist aus der Distanz möglich. Es steht kein Exploit zur Verfügung.
Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Eine Schwachstelle wurde in codecov-node bis 3.6.4 auf npm gefunden. Sie wurde als kritisch eingestuft. Es geht hierbei um die Funktion exec der Bibliothek lib/codecov.js der Komponente Incomplete Fix CVE-2020-7596. Durch die Manipulation des Arguments gcov-root durch Argument kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-78. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
codecov-node npm module before 3.6.5 allows remote attackers to execute arbitrary commands.The value provided as part of the gcov-root argument is executed by the exec function within lib/codecov.js. This vulnerability exists due to an incomplete fix of CVE-2020-7596.Die Schwachstelle wurde am 17.02.2020 veröffentlicht. Die Identifikation der Schwachstelle findet seit dem 21.01.2020 als CVE-2020-7597 statt. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1202.
Ein Upgrade auf die Version 3.6.5 vermag dieses Problem zu beheben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.6VulDB Meta Temp Score: 7.4
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 8.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-78 / CWE-77 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: codecov-node 3.6.5
Patch: github.com
Timeline
21.01.2020 🔍17.02.2020 🔍
18.02.2020 🔍
01.04.2024 🔍
Quellen
Advisory: 02cf13d8b93ac547b5b4c2cfe186b7d874fd234fStatus: Nicht definiert
CVE: CVE-2020-7597 (🔍)
GCVE (CVE): GCVE-0-2020-7597
GCVE (VulDB): GCVE-100-150296
Eintrag
Erstellt: 18.02.2020 09:04Aktualisierung: 01.04.2024 10:24
Anpassungen: 18.02.2020 09:04 (41), 18.02.2020 09:09 (17), 01.04.2024 10:24 (21)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.