Lithium Forum 2017 Q1 Compose Message upload_url privilege escalation
Podatność została odkryta w Lithium Forum 2017 Q1. Problemem dotknięta jest nieznana funkcja w komponencie Compose Message Handler. Poprzez manipulację argumentem upload_url przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przekroczenie uprawnień. Raport na temat podatności został udostępniony pod adresem vulnerability-lab.com. Podatność ta została oznaczona identyfikatorem CVE-2017-20106. Atak musi być przeprowadzony lokalnie. Techniczne szczegóły są znane. Uważa się go za proof-of-concept. Exploit można ściągnąć pod adresem vulnerability-lab.com. Potencjalne zabezpieczenie zostało opublikowane jeszcze przed po ujawnieniu podatności.