Byzoro Smart S210 Management Platform 迄 20240117 /Tool/uploadfile.php file_upload 特権昇格
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 7.3 | $0-$5k | 0.73 |
要約
脆弱性が Byzoro Smart S210 Management Platform 迄 20240117 内に見つかりました。この脆弱性は 重大 として分類されました。 対象となるのは 不明な関数 ファイル/Tool/uploadfile.phpのです。 操作 引数file_uploadの結果として 特権昇格につながります。 この脆弱性は CVE-2024-0939 として知られています。 リモートで攻撃を実行することが可能です。 エクスプロイトは利用できません。 このエントリーには CVE-2024-28520 が重複して割り当てられている可能性があります。
詳細
脆弱性が Byzoro Smart S210 Management Platform 迄 20240117 内に見つかりました。この脆弱性は 重大 として分類されました。 対象となるのは 不明な関数 ファイル/Tool/uploadfile.phpのです。 操作 引数file_uploadの結果として 特権昇格につながります。 この脆弱性に対応するCWEの定義は CWE-434 です。 この脆弱性は公開されました 2024年01月26日。 アドバイザリはgithub.comでダウンロードできます。
この脆弱性は CVE-2024-0939 として知られています。 リモートで攻撃を実行することが可能です。 技術的詳細情報が入手可能です。 この脆弱性の一般的な利用度は平均を下回っています。 エクスプロイトは利用できません。 エクスプロイトが公開されており、使用される可能性があります。 今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。 MITRE ATT&CKプロジェクトによると、攻撃手法はT1608.002です。
概念実証 であると宣言されています。 エクスプロイトツールは github.com にダウンロードのために共有されています。 0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。 】のプラグインを提供しています。
このエントリーには CVE-2024-28520 が重複して割り当てられている可能性があります。
製品
ベンダー
名前
バージョン
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 7.5VulDB 一時的なメタスコア: 7.3
VulDB ベーススコア: 6.3
VulDB 一時的なスコア: 5.7
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 9.8
NVD ベクトル: 🔍
CNA ベーススコア: 6.3
CNA ベクトル (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 特権昇格CWE: CWE-434 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
ダウンロード: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: 既知の緩和策なしステータス: 🔍
0day日時: 🔍
タイムライン
2024年01月26日 🔍2024年01月26日 🔍
2024年01月26日 🔍
2024年04月09日 🔍
ソース
勧告: github.comステータス: 未定義
CVE: CVE-2024-0939 (🔍)
CVE 重複: 🔍
GCVE (CVE): GCVE-0-2024-0939
GCVE (VulDB): GCVE-100-252184
scip Labs: https://www.scip.ch/en/?labs.20161013
エントリ
作成済み: 2024年01月26日 12:09更新済み: 2024年04月09日 09:07
変更: 2024年01月26日 12:09 (42), 2024年02月19日 17:58 (2), 2024年02月19日 18:05 (28), 2024年04月04日 08:04 (15), 2024年04月09日 09:07 (1)
完了: 🔍
提出者: yu1e
Cache ID: 216::103
提出
承諾済み
- 提出 #269268: Beijing Baizhuo Network Technology Co., Ltd. Smart S210 multi-service security gateway intelligent management platform Smart S210 arbitrary file upload vulnerability (〜によって yu1e)
VulDB is the best source for vulnerability data and more expert information about this specific topic.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。