Album Lock 4.0 日付: iOS /getImage filePaht ディレクトリトラバーサル

エントリ履歴差分jsonxmlCTI

Album Lock 4.0内に重大として分類された脆弱性が発見されました。この問題により影響を受けるのは、ファイル【/getImage】に含まれる未知の機能です。【filePaht】引数を未知の値で改ざんすることが、ディレクトリトラバーサルを突く攻撃に繋がります。この問題をCWEでは、CWE-22 と定義しました。この脆弱性は 2017年02月20日に Benjamin Kunz Mejriより「Website」のアドバイザリーにて「VL-ID 2033」として紹介されました。アドバイザリーは vulnerability-lab.com から入手可能です。この脆弱性は CVE-2017-20102 として知られています。この攻撃にアプローチするにはローカルアクセスが必要です。技術的詳細情報が入手可能です。さらに、入手できるエクスプロイトツールが存在します。エクスプロイトツールは一般に公開されており、悪用される可能性があります。現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。この脆弱性は、MITRE ATT&CKプロジェクトによって T1006 に割り当てられました。このエクスプロイトツールは proof-of-concept として宣言されています。エクスプロイトツールは vulnerability-lab.com から入手可能です。 0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。】のプラグインを提供しています。

フィールド	2017年02月24日 16:07	2020年08月17日 10:39	2022年06月25日 16:46
name	Album Lock	Album Lock	Album Lock
version	4.0	4.0	4.0
platform	iOS	iOS	iOS
file	/getImage	/getImage	/getImage
argument	filePaht	filePaht	filePaht
risk	2	2	2
cvss2_vuldb_basescore	3.0	3.0	3.0
cvss2_vuldb_tempscore	2.6	2.6	2.6
cvss2_vuldb_ci	P	P	P
cvss2_vuldb_ii	P	P	P
cvss2_vuldb_ai	N	N	N
cvss3_meta_basescore	4.4	4.4	4.4
cvss3_meta_tempscore	4.0	4.0	4.0
cvss3_vuldb_basescore	4.4	4.4	4.4
cvss3_vuldb_tempscore	4.0	4.0	4.0
cvss3_vuldb_c	L	L	L
cvss3_vuldb_i	L	L	L
cvss3_vuldb_a	N	N	N
date	1487548800 (2017年02月20日)	1487548800 (2017年02月20日)	1487548800 (2017年02月20日)
location	Website	Website	Website
type	Advisory	Advisory	Advisory
url	https://www.vulnerability-lab.com/get_content.php?id=2033	https://www.vulnerability-lab.com/get_content.php?id=2033	https://www.vulnerability-lab.com/get_content.php?id=2033
identifier	VL-ID 2033	VL-ID 2033	VL-ID 2033
person_name	Benjamin Kunz Mejri	Benjamin Kunz Mejri	Benjamin Kunz Mejri
availability	1	1	1
date	1487548800 (2017年02月20日)	1487548800 (2017年02月20日)	1487548800 (2017年02月20日)
publicity	1	1	1
url	https://www.vulnerability-lab.com/get_content.php?id=2033	https://www.vulnerability-lab.com/get_content.php?id=2033	https://www.vulnerability-lab.com/get_content.php?id=2033
developer_name	Benjamin Kunz Mejri	Benjamin Kunz Mejri	Benjamin Kunz Mejri
price_0day	$0-$5k	$0-$5k	$0-$5k
cvss2_vuldb_e	POC	POC	POC
cvss2_vuldb_rl	ND	ND	ND
cvss2_vuldb_rc	UR	UR	UR
cvss3_vuldb_e	P	P	P
cvss3_vuldb_rl	X	X	X
cvss3_vuldb_rc	R	R	R
cvss2_vuldb_av	L	L	L
cvss2_vuldb_ac	M	M	M
cvss2_vuldb_au	S	S	S
cvss3_vuldb_av	L	L	L
cvss3_vuldb_ac	L	L	L
cvss3_vuldb_pr	L	L	L
cvss3_vuldb_ui	N	N	N
cvss3_vuldb_s	U	U	U
type		iOS App Software	iOS App Software
cwe	0	22 (ディレクトリトラバーサル)	22 (ディレクトリトラバーサル)
cve			CVE-2017-20102
responsible			VulDB

◂ 前概要次 ▸

Do you need the next level of professionalism?

Upgrade your account now!