gunet openeclass hasta 3.15 H5P Module escalada de privilegios
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 9.7 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad clasificada como extremadamente crítica fue encontrada en gunet openeclass hasta 3.15. Resulta afectada una función desconocida dentro del componente H5P Module. La alteración resulta en escalada de privilegios. Esta vulnerabilidad se registra como CVE-2024-38530. El ataque puede ser iniciado desde la red. Ningún exploit está disponible. Se sugiere actualizar el componente afectado.
Detalles
Una vulnerabilidad ha sido encontrada en gunet openeclass hasta 3.15 y clasificada como extremadamente crítica. Una función desconocida del componente H5P Module es afectada por esta vulnerabilidad. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. CVE resume:
La plataforma Open eClass (anteriormente conocida como GUnet eClass) es un completo sistema de gestión de cursos. Una vulnerabilidad de carga de archivos arbitrarios en la funcionalidad "guardar" del módulo H5P permite a usuarios no autenticados cargar archivos arbitrarios en el sistema de archivos del servidor. Esto puede generar RCE sin restricciones en el servidor backend, ya que se puede acceder a la ubicación de carga desde Internet. Esta vulnerabilidad se solucionó en 3.16.El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2024-38530. Es fácil de explotar. El ataque puede ser realizado a través de la red. La explotación no requiere ninguna forma de autentificación. No se conoce los detalles técnicos ni hay ningún exploit disponible.
Una actualización a la versión 3.16 elimina esta vulnerabilidad. Aplicando el parche 4449cf8bed40fd8fc4b267a5726fab9f9fe5a191 es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Producto
Proveedor
Nombre
Versión
Licencia
Sitio web
- Producto: https://github.com/gunet/openeclass/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 9.8VulDB Puntuación meta temporal: 9.7
VulDB Puntuación base: 9.8
VulDB Puntuación temporal: 9.4
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 9.8
NVD Vector: 🔍
CNA Puntuación base: 9.8
CNA Vector (GitHub_M): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Escalada de privilegiosCWE: CWE-434 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔍
Actualización: openeclass 3.16
Parche: 4449cf8bed40fd8fc4b267a5726fab9f9fe5a191
Línea de tiempo
2024-06-18 🔍2024-08-12 🔍
2024-08-12 🔍
2024-08-13 🔍
Fuentes
Producto: github.comAviso: GHSA-88c3-hp7p-grgg
Estado: Confirmado
CVE: CVE-2024-38530 (🔍)
GCVE (CVE): GCVE-0-2024-38530
GCVE (VulDB): GCVE-100-274162
Artículo
Fecha de creación: 2024-08-12 17:44Actualizado: 2024-08-13 21:15
Cambios: 2024-08-12 17:44 (66), 2024-08-13 21:15 (11)
Completo: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.