OpenClinica まで3.15 Endpoint ディレクトリトラバーサル

CVSS 一時的なメタスコア現在のエクスプロイト価格 (≈)CTI注目指数
6.2$0-$5k0.03

OpenClinica まで3.15内に 重大 として分類された脆弱性が発見されました。 この問題により影響を受けるのは、コンポーネント【Endpoint】の未知の機能です。 未知の値で改ざんすることが、 ディレクトリトラバーサルを突く攻撃に繋がります。 この問題をCWEでは、CWE-22 と定義しました。 CVEの要約は以下になります。

OpenClinica is an open source software for Electronic Data Capture (EDC) and Clinical Data Management (CDM). OpenClinica prior to version 3.16 is vulnerable to path traversal in multiple endpoints, leading to arbitrary file read/write, and potential remote code execution. There are no known workarounds. This issue has been patched and users are recommended to upgrade.
この脆弱性は 2022年05月14日ににて 「GHSA-9rrv-prff-qph7」として 紹介されました。 アドバイザリーは github.com から入手可能です。

この脆弱性は CVE-2022-24830 として知られています。 CVEの割り当ては 2022年02月10日 に行われました。 攻撃はリモートで開始される場合があります。 入手できる技術的詳細情報はありません。 入手できるエクスプロイトツールはありません。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。

このエクスプロイトツールは 未定義 として宣言されています。 0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。 】のプラグインを提供しています。

バージョン 3.16 をアップグレードすることで、この問題に対処できます。 パッチ名は 6f864e86543f903bd20d6f9fc7056115106441f3 です。 バグフィックスは、github.com からダウンロードすることが可能です。 影響を受けているコンポーネントのアップグレードを推奨します。 考えられる回避策が、前として脆弱性の公開後公表されました 。

製品情報編集

名前

CPE 2.3情報編集

CPE 2.2情報編集

CVSSv3情報編集

VulDB ベースメタスコア: 6.4
VulDB 一時的なメタスコア: 6.2

VulDB ベーススコア: 6.3
VulDB 一時的なスコア: 6.0
VulDB 方向性: 🔒
VulDB 信頼性: 🔍

CNA ベーススコア: 6.5
CNA 方向性 (GitHub, Inc.): 🔒

CVSSv2情報編集

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
方向性複雑度認証守秘義務性誠実性可用性
解除解除解除解除解除解除
解除解除解除解除解除解除
解除解除解除解除解除解除

VulDB ベーススコア: 🔒
VulDB 一時的なスコア: 🔒
VulDB 信頼性: 🔍

悪用する情報編集

クラス: ディレクトリトラバーサル
CWE: CWE-22
ATT&CK: 未知

ローカル: いいえ
リモート: はい

可用性: 🔒
ステータス: 未定義

EPSS Score: 🔒
EPSS Percentile: 🔒

価格予測: 🔍
現在の価格評価: 🔒

0-Day解除解除解除解除
本日解除解除解除解除

脅威インテリジェンス情報編集

関心: 🔍
Active Actors: 🔍
Active APT Groups: 🔍

対策情報編集

推奨: アップグレード
ステータス: 🔍

0day日時: 🔒

アップグレード: OpenClinica 3.16
パッチ: 6f864e86543f903bd20d6f9fc7056115106441f3

タイムライン情報編集

2022年02月10日 CVEが割り当てられた
2022年05月14日 +92 日 アドバイザリーが公開された
2022年05月14日 +0 日 VulDBエントリが作成された
2022年05月18日 +4 日 VulDBの最終更新日時

ソース情報編集

アドバイザリー: GHSA-9rrv-prff-qph7
ステータス: 確認済み

CVE: CVE-2022-24830 (🔒)

エントリ情報編集

作成済み: 2022年05月14日 07:43
更新済み: 2022年05月18日 08:15
変更: (12) vulnerability_cvss3_meta_basescore vulnerability_cvss3_meta_tempscore source_cve_cna vulnerability_cvss3_cna_basescore vulnerability_cvss3_cna_av vulnerability_cvss3_cna_ac vulnerability_cvss3_cna_pr vulnerability_cvss3_cna_ui vulnerability_cvss3_cna_s vulnerability_cvss3_cna_c vulnerability_cvss3_cna_i vulnerability_cvss3_cna_a
完了: 🔍

コメント

コメントはまだありません。 言語: ja + en.

コメントするにはログインしてください。

Do you know our Splunk app?

Download it now for free!