vBulletin fino a 5.5.4 ajax/render/widget_php widgetConfig[code] escalationi di privilegi

StoriaDiffcollegarejsonxmlCTI

CVSS Punteggio meta temporaneo	Prezzo attuale dell'exploit (≈)	Punteggio di interesse CTI
9.0	$0-$5k	0.00

Riassuntoinformazioni

In vBulletin fino a 5.5.4 è stata rilevato un punto critico di livello critico. Si considera coinvolta una funzione sconosciuta nel file ajax/render/widget_php. Attraverso l'influenza del parametro widgetConfig[code] come parte di Parameter per mezzo di una vulerabilità di classe escalationi di privilegi. Questa vulnerabilità è conosciuta come CVE-2019-16759. L'attacco può essere lanciato da remoto. Inoltre, è presente un exploit disponibile.

Dettagliinformazioni

In vBulletin fino a 5.5.4 (Forum Software) è stato trovato un punto critico di livello critico. É interessato una funzione sconosciuta del file ajax/render/widget_php. Attraverso l'influenza del parametro widgetConfig[code] come parte di Parameter se causa una vulnerabilità di classe escalationi di privilegi. Gli effetti sono noti per riservatezza, integrità e disponibilità.

La vulnerabilità è stata pubblicata in data 24/09/2019 con un mailinglist post (Full-Disclosure) (non definito). L'advisory è scaricabile da seclists.org. Questa vulnerabilità è identificata come CVE-2019-16759. È facile da utilizzare. Dalla rete può partire l'attacco. L'utilizzo non richiede alcuna forma di autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti.

Un metodo di utilizzo è stato sviluppato in PHP ed è stata pubblicata prima e non solo dopo il comunicato. L'exploit è scaricabile da exploit-db.com. È stato dichiarato come attaccato. Per almeno 1 giorni, questa vulnerabilità è stata classificata come 0-day exploit.

Informazioni riguardo una possibile contromisura non sono al momento disponibili. Si suggerisce di sostituire il prodotto con uno equivalente.

La vulnerabilità è documentata anche nei database Exploit-DB (47447). Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Prodottoinformazioni

Genere

Forum Software

Nome

vBulletin

Versione

Licenza

commerciale

CPE 2.3informazioni

CPE 2.2informazioni

CVSSv4informazioni

VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv3informazioni

VulDB Punteggio meta-base: 9.0
VulDB Punteggio meta temporaneo: 9.0

VulDB Punteggio di base: 7.3
VulDB Punteggio temporaneo: 7.3
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

NVD Punteggio di base: 9.8
NVD Vettore: 🔍

CNA Punteggio di base: 9.8
CNA Vettore: 🔍

CVSSv2informazioni

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vettore	Complessità	Autenticazione	Riservatezza	Integrità	Disponibilità
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare

VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍

NVD Punteggio di base: 🔍

Sfruttamentoinformazioni

Classe: Escalationi di privilegi
CWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Fisico: No
Locale: No
Remoto: Si

Disponibilità: 🔍
Accesso: Pubblico
Stato: Attaccato
Linguaggio di programmazione: 🔍
Scaricare: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

KEV Aggiunto: 🔍
KEV Entro quando: 🔍
KEV Contromisure: 🔍
KEV Ransomware: 🔍
KEV Avviso: 🔍

Previsione dei prezzi: 🔍
Preventivo attuale: 🔍