CutePHP CuteNews fino 2.1.2 index.php avatar_file escalazione di privilegi
| CVSS Meta Temp Score | Exploit Prezzo Attuale (≈) | CTI Interest Score |
|---|---|---|
| 6.8 | $0-$5k | 0.06 |
Un punto di criticita di livello critico è stato rilevato in CutePHP CuteNews fino 2.1.2 (Content Management System). Da questa vulnerabilità è interessato una funzione sconosciuta del file index.php?mod=main&opt=personal. Attraverso l'influenza del parametro avatar_file di un input sconosciuto per mezzo di una vulerabilità di classe escalazione di privilegi. Questo agisce su riservatezza, integrità e disponibilità.
Data di scoperta del problema 15/04/2019. La vulnerabilità è stata pubblicata in data 22/04/2019 con identificazione EDB-46698 con un exploit (Exploit-DB) (non definito). L'advisory è scaricabile da exploit-db.com. Questo punto di criticità è identificato come CVE-2019-11447. Dalla rete può partire l'attacco. Per accederre all'uso è necessaria una semplice autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti.
immediatamente dopo, è stato diffuso un exploit. È stato dichiarato come proof-of-concept. L'exploit è scaricabile da exploit-db.com. Questa vulnerabilità è stata classificata come un 0-day exploit almeno per 7 giorni.
Informazioni riguardo una possibile contromisura non sono al momento disponibili. Si suggerisce di sostituire il prodotto con uno equivalente.
Prodotto
Type
Fornitore
Name
CPE 2.3
CPE 2.2
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 6.8
VulDB Base Score: 6.3
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Affidabilità: 🔍
NVD Base Score: 8.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| Vector | Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| unlock | unlock | unlock | unlock | unlock | unlock |
| unlock | unlock | unlock | unlock | unlock | unlock |
| unlock | unlock | unlock | unlock | unlock | unlock |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Affidabilità: 🔍
NVD Base Score: 🔍
Exploiting
Classe: Escalazione di privilegiCWE: CWE-434
ATT&CK: Sconosciuto
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Pubblico
Status: Proof-of-Concept
Download: 🔍
Price Prediction: 🔍
Preventivo attuale: 🔍
| 0-Day | unlock | unlock | unlock | unlock |
|---|---|---|---|---|
| Oggi | unlock | unlock | unlock | unlock |
Exploit-DB: 🔍
Threat Intelligence
Threat: 🔍Adversaries: 🔍
Geopolitics: 🔍
Economy: 🔍
Predictions: 🔍
Contromisure: 🔍
Contromisure
Raccomandazione: nessuna contromisura conosciutaStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Timeline
15/04/2019 🔍21/04/2019 🔍
22/04/2019 🔍
22/04/2019 🔍
22/04/2019 🔍
23/04/2019 🔍
01/06/2020 🔍
Fonti
Advisory: EDB-46698Status: Non definito
CVE: CVE-2019-11447 (🔍)
OSVDB: 8833 - CuteNews avatar code execution
scip Labs: https://www.scip.ch/en/?labs.20161013
Voce
Data di creazione: 23/04/2019 08:59 AMAggiornamenti: 01/06/2020 11:44 AM
Changes: (3) vulnerability_discoverydate source_osvdb source_osvdb_title
Completa: 🔍
Comments
Interested in the pricing of exploits?
See the underground prices here!
No comments yet. Please log in to comment.