Atlassian Bamboo fino 6.1.5/6.2.4 Double OGNL Evaluation Java escalazione di privilegi
| CVSS Punteggio Meta Temp | Exploit Prezzo Attuale (≈) | Punteggio di interesse CTI |
|---|---|---|
| 8.0 | $0-$5k | 0.00 |
Un punto di debole di livello critico è stato rilevato in Atlassian Bamboo fino 6.1.5/6.2.4. Da questa vulnerabilità è interessato una funzione sconosciuta del componente Double OGNL Evaluation. Attraverso l'influenza di un input sconosciuto conseguenza di una vulerabilità di classe escalazione di privilegi. Effetti sono da osservare per riservatezza, integrità e disponibilità.
Data di scoperta del problema 13/12/2017. La vulnerabilità è stata pubblicata in data 13/12/2017 (Website) (non definito). L'advisory è scaricabile da confluence.atlassian.com. CVE-2017-14589 è identificato come punto debole. L'attacco si effettua con la rete. Nessuna autentificazione è richiesta per l'uso. Non sono a disposizione dettagli tecnici e metodo d'utilizzo.
Un plugin è disponibile per lo scanner Nessus, numero ID 105371 (Atlassian Bamboo 6.1.x < 6.1.6 / 6.2.x < 6.2.5 Incorrect Permission Check RCE), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
L'aggiornamento alla versione 6.1.6 o 6.2.5 elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata già prima e non dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nei database Tenable (105371).
Prodotto
Fornitore
Nome
Versione
Licenza
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 8.3VulDB Punteggio Meta Temp: 8.2
VulDB Punteggio di base: 7.1
VulDB Punteggio temporaneo: 6.8
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 9.6
NVD Vettore: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Exploiting
Nome: JavaClasse: Escalazione di privilegi / Java
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Locale: No
Remoto: Si
Disponibilità: 🔍
Stato: Non definito
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | sbloccare | sbloccare | sbloccare | sbloccare |
|---|---|---|---|---|
| Oggi | sbloccare | sbloccare | sbloccare | sbloccare |
Nessus ID: 105371
Nessus Nome: Atlassian Bamboo 6.1.x < 6.1.6 / 6.2.x < 6.2.5 Incorrect Permission Check RCE
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 867655
OpenVAS Nome: Atlassian Bamboo Multiple Vulnerabilities
OpenVAS File: 🔍
OpenVAS Family: 🔍
Intelligence Sulle Minacce
Interesse: 🔍Attori Attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: UpgradeStato: 🔍
0 giorni di tempo: 🔍
Upgrade: Bamboo 6.1.6/6.2.5
Sequenza temporale
14/06/2017 🔍19/09/2017 🔍
12/12/2017 🔍
13/12/2017 🔍
13/12/2017 🔍
13/12/2017 🔍
14/12/2017 🔍
19/12/2017 🔍
27/01/2021 🔍
Fonti
Fornitore: atlassian.comAdvisory: confluence.atlassian.com
Riceratore: Zhang Tianqi @ Tophant.
Stato: Non definito
Confermato: 🔍
CVE: CVE-2017-14589 (🔍)
SecurityFocus: 102188 - Atlassian Bamboo CVE-2017-14589 Remote Code Execution Vulnerability
Vedi anche: 🔍
Voce
Data di creazione: 14/12/2017 07:51Aggiornamenti: 27/01/2021 10:41
I cambiamenti: 14/12/2017 07:51 (72), 15/12/2019 08:06 (5), 27/01/2021 10:41 (2)
Completa: 🔍
Ancora nessun commento. Le Lingue: it + en.
Effettua il login per commentare.