Steinbeis Allegra unzipFile Directory Traversal

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.0$0-$5k0.00

Zusammenfassunginfo

Eine Schwachstelle, die als kritisch eingestuft wurde, wurde in Steinbeis Allegra gefunden. Dies betrifft die Funktion unzipFile. Die Veränderung resultiert in Directory Traversal. Die Verwundbarkeit wird unter CVE-2024-22513 geführt. Der Angriff kann über das Netzwerk erfolgen. Desweiteren ist ein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.

Detailsinfo

In Steinbeis Allegra - die betroffene Version ist nicht bekannt - wurde eine kritische Schwachstelle entdeckt. Hierbei betrifft es die Funktion unzipFile. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-22. Es ist nicht bekannt, inwiefern sich eine durchgesetzte Attacke genau auswirken wird. Die Zusammenfassung von CVE lautet:

djangorestframework-simplejwt version 5.3.1 and before is vulnerable to information disclosure. A user can access web application resources even after their account has been disabled due to missing user validation checks via the for_user method.

Die Schwachstelle wurde am 10.02.2024 öffentlich gemacht. Bereitgestellt wird das Advisory unter zerodayinitiative.com. Die Verwundbarkeit wird seit dem 11.01.2024 als CVE-2024-22513 geführt. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1006 aus.

Unter exploit-db.com wird der Exploit bereitgestellt. Er wird als proof-of-concept gehandelt.

Ein Aktualisieren vermag dieses Problem zu lösen.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Exploit-DB (51992) dokumentiert. Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Produktinfo

Hersteller

Name

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.4
VulDB Meta Temp Score: 6.0

VulDB Base Score: 7.2
VulDB Temp Score: 6.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 5.5
CNA Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Directory Traversal
CWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Teilweise
Lokal: Ja
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Timelineinfo

11.01.2024 🔍
10.02.2024 +30 Tage 🔍
10.02.2024 +0 Tage 🔍
01.11.2024 +265 Tage 🔍

Quelleninfo

Advisory: zerodayinitiative.com
Status: Bestätigt

CVE: CVE-2024-22513 (🔍)
GCVE (CVE): GCVE-0-2024-22513
GCVE (VulDB): GCVE-100-253369
scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 10.02.2024 09:24
Aktualisierung: 01.11.2024 22:20
Anpassungen: 10.02.2024 09:24 (37), 30.07.2024 15:53 (23), 01.11.2024 22:20 (14)
Komplett: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!