Simplessus 3.7.7内に 重大 として分類された脆弱性が発見されました。 この問題により影響を受けるのは、未知の機能です。 【path】引数を入力..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswdで改ざんすることが、 ディレクトリトラバーサルを突く攻撃に繋がります。 この脆弱性に対応するCWEの定義は CWE-22 です。 この脆弱性は 2017年02月16日に Dr. Adrian Vollmerより「Bugtraq」の Mailinglist Postにて 「[SYSS-2017-004] Simplessus Files: Path Traversal」として 紹介されました。 アドバイザリーは seclists.org から入手可能です。 この脆弱性は CVE-2017-20105 として扱われます。 攻撃はリモートで開始される場合があります。 技術的詳細情報が入手可能です。 さらに、入手できるエクスプロイトツールが存在します。 エクスプロイトツールは一般に公開されており、悪用される可能性があります。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 この脆弱性は、MITRE ATT&CKプロジェクトによって T1006 に割り当てられました。 このエクスプロイトツールは proof-of-concept として宣言されています。 エクスプロイトツールは seclists.org から入手可能です。 0dayにはおよそ $0-$5k の価値があったと予想しています。 】のプラグインを提供しています。 バージョン 3.8.3 をアップグレードすることで、この問題に対処できます。 影響を受けているコンポーネントのアップグレードを推奨します。 考えられる回避策が、前として脆弱性の公開後公表されました 。
タイムライン
30 非表示のエントリあり