| CVSS Score méta-temporaire | Prix actuel de l'exploit (≈) | Score d'intérêt CTI |
|---|---|---|
| 4.7 | $0-$5k | 0.00 |
Résumé
Une vulnérabilité classée critique a été trouvée dans Simplessus 3.7.7. Ceci affecte une fonction inconnue. L’utilisation de l’argument path avec la valeur d’entrée ..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd aboutit à directory traversal.
Cette vulnérabilité est identifiée comme CVE-2017-20105. Il est possible de lancer l'attaque à distance. De plus, un exploit est disponible.
Il est suggéré de mettre à jour le composant affecté.
Détails
Une vulnérabilité a été trouvé dans Simplessus 3.7.7 et classée critique. Affecté par cette vulnérabilité est une fonction inconnue. A cause de la manipulation du paramètre path de la valeur d'entrée ..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd mène à une vulnérabilité de classe directory traversal.
La vulnerabilité a été publié en 16/02/2017 par Dr. Adrian Vollmer avec le numéro d'identification [SYSS-2017-004] Simplessus Files: Path Traversal avec mailinglist post (Bugtraq) (non défini). La notice d'information est disponible en téléchargement sur seclists.org Cette vulnérabilité a été nommée CVE-2017-20105. L'attaque peut être lancée à distance. Des details techniques et aussi un public exploit sont connus.
Un exploit a été developpé par Dr. Adrian Vollmer et a été publié immédiatement après la notice d'information. L'exploit est disponible au téléchargment sur seclists.org. Il est déclaré comme preuve de concept.
Mettre à jour à la version 3.8.3 élimine cette vulnérabilité.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produit
Nom
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vecteur: 🔍VulDB Fiabilité: 🔍
CVSSv3
VulDB Score méta-base: 5.4VulDB Score méta-temporaire: 4.7
VulDB Note de base: 5.4
VulDB Note temporaire: 4.7
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍
Exploitation
Classe: Directory traversalCWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍
Physique: Non
Local: Non
Remote: Oui
Disponibilité: 🔍
Accès: Public
Statut: Preuve de concept
Auteur: Dr. Adrian Vollmer
Télécharger: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍
| 0-Day | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
|---|---|---|---|---|
| Aujourd'hui | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: Mise à niveauStatut: 🔍
Heure 0 jour: 🔍
Délai d'exploitation: 🔍
Mise à niveau: Simplessus 3.8.3
Chronologie
16/02/2017 🔍16/02/2017 🔍
24/02/2017 🔍
25/06/2022 🔍
Sources
Bulletin: [SYSS-2017-004] Simplessus Files: Path TraversalChercheur: Dr. Adrian Vollmer
Statut: Non défini
CVE: CVE-2017-20105 (🔍)
GCVE (CVE): GCVE-0-2017-20105
GCVE (VulDB): GCVE-100-97253
scip Labs: https://www.scip.ch/en/?labs.20161013
Voir aussi: 🔍
Entrée
Créé: 24/02/2017 15:41Mise à jour: 25/06/2022 18:20
Changements: 24/02/2017 15:41 (46), 17/08/2020 09:19 (1), 25/06/2022 18:20 (3)
Complet: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Aucun commentaire pour l'instant. Langues: fr + it + en.
Veuillez vous connecter pour commenter.