Chengdu Flash Flood Disaster Monitoring and Warning System FileHandler.ashx 特権昇格
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.8 | $0-$5k | 0.00 |
要約
このたび、Chengdu Flash Flood Disaster Monitoring and Warning System 2.0において、問題があるに分類される脆弱性が見つかりました。 対象となるのは 不明な関数 ファイル/Service/FileHandler.ashxのです。 操作 引数userFileの結果として 特権昇格につながります。 この脆弱性はCVE-2023-3804という名称で流通しています。 さらに、攻撃手法が利用可能です。
詳細
このたび、Chengdu Flash Flood Disaster Monitoring and Warning System 2.0において、問題があるに分類される脆弱性が見つかりました。 対象となるのは 不明な関数 ファイル/Service/FileHandler.ashxのです。 操作 引数userFileの結果として 特権昇格につながります。 この脆弱性に対応するCWEの定義は CWE-434 です。 この弱点は 2023年07月20日に発表されました。 アドバイザリはgithub.comで提供されています。
この脆弱性はCVE-2023-3804という名称で流通しています。 テクニカルな情報があります。 この脆弱性の一般的な利用度は平均を下回っています。 さらに、攻撃手法が利用可能です。 エクスプロイトが公開されており、使用される可能性があります。 今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。 MITRE ATT&CKプロジェクトは攻撃技術をT1608.002としています。
概念実証 に指定されています。 エクスプロイトはgithub.comにて提供されています。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$0-$5kでした。
製品
ベンダー
名前
バージョン
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 6.9VulDB 一時的なメタスコア: 6.8
VulDB ベーススコア: 5.5
VulDB 一時的なスコア: 5.0
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 9.8
NVD ベクトル: 🔍
CNA ベーススコア: 5.5
CNA ベクトル (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 特権昇格CWE: CWE-434 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: 既知の緩和策なしステータス: 🔍
0day日時: 🔍
タイムライン
2023年07月20日 🔍2023年07月20日 🔍
2023年07月20日 🔍
2023年08月15日 🔍
ソース
勧告: github.comステータス: 未定義
CVE: CVE-2023-3804 (🔍)
GCVE (CVE): GCVE-0-2023-3804
GCVE (VulDB): GCVE-100-235072
scip Labs: https://www.scip.ch/en/?labs.20161013
エントリ
作成済み: 2023年07月20日 10:33更新済み: 2023年08月15日 12:16
変更: 2023年07月20日 10:33 (41), 2023年08月15日 12:09 (2), 2023年08月15日 12:16 (28)
完了: 🔍
提出者: yueying
Cache ID: 216::103
提出
承諾済み
- 提出 #181500: Flash flood Disaster monitoring and early warning system 2.0 service module has arbitrary file upload vulnerability (〜によって yueying)
VulDB is the best source for vulnerability data and more expert information about this specific topic.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。