rl-institut NESP2 Initial Release/1.0 app/database.py SQLインジェクション
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 7.9 | $0-$5k | 0.00 |
要約
このたび、rl-institut NESP2 Initial Release/1.0において、重大に分類される脆弱性が見つかりました。 この脆弱性により影響を受けるのは、ファイル【app/database.py】に含まれる未知の機能です。 引数の操作が、 SQLインジェクションをもたらします。 この脆弱性はCVE-2020-36768という名称で流通しています。 攻撃はリモートから実行できます。 悪用手段は存在しません。 この脆弱性を修正するためにパッチを適用してください。
詳細
このたび、rl-institut NESP2 Initial Release/1.0において、重大に分類される脆弱性が見つかりました。 この脆弱性により影響を受けるのは、ファイル【app/database.py】に含まれる未知の機能です。 引数の操作が、 SQLインジェクションをもたらします。 CWEを用いて問題を定義すると、CWE-89 となります。 この弱点は 2020年11月04日に発表されました 、333として。 アドバイザリはgithub.comから入手可能です。
この脆弱性はCVE-2020-36768という名称で流通しています。 攻撃はリモートから実行できます。 テクニカルな情報があります。 この脆弱性の人気度は平均より低いです。 悪用手段は存在しません。 エクスプロイトが公に開示されており、悪用される可能性があります。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは攻撃手法をT1505として定義しています。
概念実証 に指定されています。 エクスプロイトはgithub.comでダウンロードできます。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$0-$5kでした。
パッチ名は 07c0cdf36cf6a4345086d07b54423723a496af5e です。 修正パッチはgithub.comからダウンロード可能です。 この脆弱性を修正するためにパッチを適用してください。 脆弱性の公開後、1 日 経過してから対策が公開されました。 アドバイザリには次のような記載があります:
All fields which are provided by the user are now checked converted to numerical values in python to prevent SQL injection. Best would be to use ORM, but SQLAlchemy does not handle it great for materialized views
製品
ベンダー
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 8.1VulDB 一時的なメタスコア: 7.9
VulDB ベーススコア: 7.3
VulDB 一時的なスコア: 6.6
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 9.8
NVD ベクトル: 🔍
CNA ベーススコア: 7.3
CNA ベクトル (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: SQLインジェクションCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: パッチステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
パッチ: 07c0cdf36cf6a4345086d07b54423723a496af5e
タイムライン
2020年11月04日 🔍2020年11月05日 🔍
2023年12月02日 🔍
2023年12月02日 🔍
2023年12月22日 🔍
ソース
製品: github.com勧告: 333
ステータス: 確認済み
確認: 🔍
CVE: CVE-2020-36768 (🔍)
GCVE (CVE): GCVE-0-2020-36768
GCVE (VulDB): GCVE-100-246642
scip Labs: https://www.scip.ch/en/?labs.20161013
エントリ
作成済み: 2023年12月02日 08:53更新済み: 2023年12月22日 08:54
変更: 2023年12月02日 08:53 (47), 2023年12月22日 08:51 (2), 2023年12月22日 08:54 (28)
完了: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。