OneDev à 4.0.2 XML Document XmlBuildSpecMigrator.migrate divulgation de l'information

entréeeditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Exploit Prix Actuel (≈)
CTI Interest Score
5.1$0-$5k0.00

Une vulnérabilité a été trouvé dans OneDev à 4.0.2 et classée problématique. Affecté est la fonction XmlBuildSpecMigrator.migrate du composant XML Document Handler. La manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe divulgation de l'information.

La vulnerabilité a été publié en 16/01/2021 (confirmé). La notice d'information est disponible en téléchargement sur github.com Cette vulnérabilité a été nommée CVE-2021-21250. Résultat facile à exploiter. Il est possible de lancer l'attaque à distance. Une seule session d'authentification est nécéssaire pour l'exploitation. Les détails technniques sont connus, mais aucun exploite n'est disponible.

Mettre à jour à la version 4.0.3 élimine cette vulnérabilité. En appliquant un correctif il est possible d'éliminer le problème. Le correctif est disponible au téléchargement sur github.com. La meilleure solution suggérée pour atténuer le problème est de mettre à jour à la dernière version.

Produitinfoedit

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 5.4
VulDB Meta Temp Score: 5.1

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔒
VulDB Fiabilité: 🔍

NVD Base Score: 6.5
NVD Vector: 🔒

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Fiabilité: 🔍

NVD Base Score: 🔒

Exploitinginfoedit

Classe: Divulgation de l'information
CWE: CWE-200
ATT&CK: Inconnue

Localement: Non
Remote: Oui

Disponibilité: 🔒
Status: Non défini

Prédiction de prix: 🔍
Estimation actuelle des prix: 🔒

0-Dayunlockunlockunlockunlock
Aujourd'huiunlockunlockunlockunlock

Threat Intelligenceinfoedit

Menace: 🔍
Les adversaires: 🔍
Géopolitique: 🔍
Économie: 🔍
Prédictions: 🔍
Contre-mesures: 🔍

Contre-mesuresinfoedit

Recommandé: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: OneDev 4.0.3
Patch: github.com

Chronologieinfoedit

22/12/2020 CVE créée
16/01/2021 +25 jours Consultatif divulgués
16/01/2021 +0 jours VulDB créée
15/02/2021 +30 jours VulDB mis à jour

Sourcesinfoedit

Bulletin: github.com
Status: Confirmé
Confirmation: 🔒

CVE: CVE-2021-21250 (🔒)

Entréeinfoedit

Établi: 16/01/2021 09:28
Mise à jour: 15/02/2021 02:39
Changements: (19) vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai source_cve_cna vulnerability_cvss3_meta_basescore vulnerability_cvss3_meta_tempscore vulnerability_cvss2_nvd_basescore vulnerability_cvss3_nvd_basescore
Compléter: 🔍

commentaires

Aucun commentaire pour l'instant. Veuillez vous connecter pour commenter.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!