CutePHP CuteNews fino 2.1.2 index.php avatar_file escalazione di privilegi

voceeditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Exploit Prezzo Attuale (≈)
CTI Interest Score
6.8$0-$5k0.06

Un punto di criticita di livello critico è stato rilevato in CutePHP CuteNews fino 2.1.2 (Content Management System). Da questa vulnerabilità è interessato una funzione sconosciuta del file index.php?mod=main&opt=personal. Attraverso l'influenza del parametro avatar_file di un input sconosciuto per mezzo di una vulerabilità di classe escalazione di privilegi. Questo agisce su riservatezza, integrità e disponibilità.

Data di scoperta del problema 15/04/2019. La vulnerabilità è stata pubblicata in data 22/04/2019 con identificazione EDB-46698 con un exploit (Exploit-DB) (non definito). L'advisory è scaricabile da exploit-db.com. Questo punto di criticità è identificato come CVE-2019-11447. Dalla rete può partire l'attacco. Per accederre all'uso è necessaria una semplice autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti.

immediatamente dopo, è stato diffuso un exploit. È stato dichiarato come proof-of-concept. L'exploit è scaricabile da exploit-db.com. Questa vulnerabilità è stata classificata come un 0-day exploit almeno per 7 giorni.

Informazioni riguardo una possibile contromisura non sono al momento disponibili. Si suggerisce di sostituire il prodotto con uno equivalente.

Prodottoinfoedit

Type

Fornitore

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 7.5
VulDB Meta Temp Score: 6.8

VulDB Base Score: 6.3
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Affidabilità: 🔍

NVD Base Score: 8.8
NVD Vector: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Affidabilità: 🔍

NVD Base Score: 🔍

Exploitinginfoedit

Classe: Escalazione di privilegi
CWE: CWE-434
ATT&CK: Sconosciuto

Locale: No
Remoto: Si

Disponibilità: 🔍
Accesso: Pubblico
Status: Proof-of-Concept
Download: 🔍

Price Prediction: 🔍
Preventivo attuale: 🔍

0-Dayunlockunlockunlockunlock
Oggiunlockunlockunlockunlock

Exploit-DB: 🔍

Threat Intelligenceinfoedit

Threat: 🔍
Adversaries: 🔍
Geopolitics: 🔍
Economy: 🔍
Predictions: 🔍
Contromisure: 🔍

Contromisureinfoedit

Raccomandazione: nessuna contromisura conosciuta
Status: 🔍

0-Day Time: 🔍
Exploit Delay Time: 🔍

Timelineinfoedit

15/04/2019 🔍
21/04/2019 +6 giorni 🔍
22/04/2019 +1 giorni 🔍
22/04/2019 +0 giorni 🔍
22/04/2019 +0 giorni 🔍
23/04/2019 +1 giorni 🔍
01/06/2020 +405 giorni 🔍

Fontiinfoedit

Advisory: EDB-46698
Status: Non definito

CVE: CVE-2019-11447 (🔍)
OSVDB: 8833 - CuteNews avatar code execution

scip Labs: https://www.scip.ch/en/?labs.20161013

Voceinfoedit

Data di creazione: 23/04/2019 08:59 AM
Aggiornamenti: 01/06/2020 11:44 AM
Changes: (3) vulnerability_discoverydate source_osvdb source_osvdb_title
Completa: 🔍

Comments

No comments yet. Please log in to comment.

Interested in the pricing of exploits?

See the underground prices here!