NodeBB まで2.5.7 /register/abort 未知の脆弱性

問題がある として分類されている脆弱性が NodeBB まで2.5.7 内に見つかりました。 影響を受けるのは、ファイル【/register/abort】に含まれる未知の関数です。 未知の値で改ざんすることが、 クロスサイトリクエストフォージェリを突く攻撃に繋がります。 この脆弱性に対応するCWEの定義は CWE-352 です。 この脆弱性は 2022年11月13日ににて 「11017」として 紹介されました。 アドバイザリーは github.com にてダウンロード用に公開されています。 この脆弱性は CVE-2022-3978 として扱われます。 攻撃はリモートで開始される可能性があります。 技術的詳細情報が入手可能です。 入手できるエクスプロイトツールはありません。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 このエクスプロイトツールは 未定義 として宣言されています。 0dayにはおよそ $0-$5k の価値があったと予想しています。 】のプラグインを提供しています。 バージョン 2.5.8 をアップグレードすることで、この問題に対処できます。 アップグレードされたバージョンは、github.com からダウンロードする準備ができています。 パッチ名は 2f9d8c350e54543f608d3d4c8e1a49bbb6cdea38 です。 バグフィックスは、github.com からダウンロードすることが可能です。 影響を受けているコンポーネントのアップグレードを推奨します。

フィールド2022年11月13日 14:592022年12月17日 15:062022年12月17日 15:13
nameNodeBBNodeBBNodeBB
version<=2.5.7<=2.5.7<=2.5.7
file/register/abort/register/abort/register/abort
cwe352 (クロスサイトリクエストフォージェリ)352 (クロスサイトリクエストフォージェリ)352 (クロスサイトリクエストフォージェリ)
risk111
cvss3_vuldb_avNNN
cvss3_vuldb_acLLL
cvss3_vuldb_prNNN
cvss3_vuldb_uiRRR
cvss3_vuldb_sUUU
cvss3_vuldb_cNNN
cvss3_vuldb_iLLL
cvss3_vuldb_aNNN
cvss3_vuldb_rlOOO
cvss3_vuldb_rcCCC
identifier110171101711017
urlhttps://github.com/NodeBB/NodeBB/issues/11017https://github.com/NodeBB/NodeBB/issues/11017https://github.com/NodeBB/NodeBB/issues/11017
nameアップグレードアップグレードアップグレード
upgrade_version2.5.82.5.82.5.8
upgrade_urlhttps://github.com/NodeBB/NodeBB/releases/tag/v2.5.8https://github.com/NodeBB/NodeBB/releases/tag/v2.5.8https://github.com/NodeBB/NodeBB/releases/tag/v2.5.8
patch_name2f9d8c350e54543f608d3d4c8e1a49bbb6cdea382f9d8c350e54543f608d3d4c8e1a49bbb6cdea382f9d8c350e54543f608d3d4c8e1a49bbb6cdea38
patch_urlhttps://github.com/NodeBB/NodeBB/commit/2f9d8c350e54543f608d3d4c8e1a49bbb6cdea38https://github.com/NodeBB/NodeBB/commit/2f9d8c350e54543f608d3d4c8e1a49bbb6cdea38https://github.com/NodeBB/NodeBB/commit/2f9d8c350e54543f608d3d4c8e1a49bbb6cdea38
cveCVE-2022-3978CVE-2022-3978CVE-2022-3978
responsibleVulDBVulDBVulDB
date1668294000 (2022年11月13日)1668294000 (2022年11月13日)1668294000 (2022年11月13日)
cvss2_vuldb_avNNN
cvss2_vuldb_acLLL
cvss2_vuldb_auNNN
cvss2_vuldb_ciNNN
cvss2_vuldb_iiPPP
cvss2_vuldb_aiNNN
cvss2_vuldb_rcCCC
cvss2_vuldb_rlOFOFOF
cvss2_vuldb_eNDNDND
cvss3_vuldb_eXXX
cvss2_vuldb_basescore5.05.05.0
cvss2_vuldb_tempscore4.44.44.4
cvss3_vuldb_basescore4.34.34.3
cvss3_vuldb_tempscore4.14.14.1
cvss3_meta_basescore4.34.34.3
cvss3_meta_tempscore4.14.14.2
price_0day$0-$5k$0-$5k$0-$5k
cve_assigned1668294000 (2022年11月13日)1668294000 (2022年11月13日)
cve_nvd_summaryA vulnerability, which was classified as problematic, was found in NodeBB up to 2.5.7. This affects an unknown part of the file /register/abort. The manipulation leads to cross-site request forgery. It is possible to initiate the attack remotely. Upgrading to version 2.5.8 is able to address this issue. The name of the patch is 2f9d8c350e54543f608d3d4c8e1a49bbb6cdea38. It is recommended to upgrade the affected component. The associated identifier of this vulnerability is VDB-213555.A vulnerability, which was classified as problematic, was found in NodeBB up to 2.5.7. This affects an unknown part of the file /register/abort. The manipulation leads to cross-site request forgery. It is possible to initiate the attack remotely. Upgrading to version 2.5.8 is able to address this issue. The name of the patch is 2f9d8c350e54543f608d3d4c8e1a49bbb6cdea38. It is recommended to upgrade the affected component. The associated identifier of this vulnerability is VDB-213555.
cvss3_cna_avN
cvss3_cna_acL
cvss3_cna_prN
cvss3_cna_uiR
cvss3_cna_sU
cvss3_cna_cN
cvss3_cna_iL
cvss3_cna_aN
cve_cnaVulDB
cvss3_cna_basescore4.3

概要

Do you need the next level of professionalism?

Upgrade your account now!