SeaCMS 7.2 member.php Request privilege escalation

wpiseditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Exploit Aktualna Cena (≈)
CTI Interest Score
8.8$0-$5k0.00

Odkryto lukę w SeaCMS 7.2. Dotknięta jest nieznana funkcja w pliku member.php?mod=repsw4. Poprzez manipulację jako częścią Request można doprowadzić do wystąpienia podatności przekroczenie uprawnień. Wpływa to na poufność.

Błąd został odkryty w dniu 2019-01-06. Informacja o podatności została opublikowana w dniu upubliczniona 2019-02-17. Podatność ta jest zwana CVE-2019-8418. Wykorzystywanie luki jest uważane za łatwe. Atak może zostać przeprowadzony zdalnie. W celu pomyślnej eksploitacji potrzeba pojedynczego uwierzytelnienia. Są znane pewne szczegóły techniczne, ale exploit nie jest dostępny.

Podatność ta była wykorzystywana w exploicie typu 0-day przez co najmniej 42 dni.

Nie są znane żadne środki zaradcze. Sugerowana jest zamiana podatnego komponentu na produkt alternatywny.

Produktinfoedit

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 8.8
VulDB Meta Temp Score: 8.8

VulDB Base Score: 8.8
VulDB Temp Score: 8.8
VulDB Vector: 🔍
VulDB Niezawodność: 🔍

NVD Base Score: 8.8
NVD Vector: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Niezawodność: 🔍

NVD Base Score: 🔍

Exploitinfoedit

Klasa: Przekroczenie uprawnień
CWE: CWE-255
ATT&CK: Nieznany

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Status: Nie określono

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayunlockunlockunlockunlock
Dzisiajunlockunlockunlockunlock

Threat Intelligenceinfoedit

Zagrożenie: 🔍
Przeciwnicy: 🔍
Geopolityka: 🔍
Gospodarka: 🔍
Prognozy: 🔍
Przeciwdziałanie: 🔍

Przeciwdziałanieinfoedit

Zalecane: wiadomo nie ograniczanie
Status: 🔍

0-Day Time: 🔍

Oś czasuinfoedit

2019-01-06 🔍
2019-02-17 +42 dni 🔍
2019-02-17 +0 dni 🔍
2019-02-18 +1 dni 🔍
2020-05-11 +448 dni 🔍

Źródłainfoedit

Status: Nie określono

CVE: CVE-2019-8418 (🔍)

Wpisinfoedit

Stworzono: 2019-02-18 09:37
Aktualizacje: 2020-05-11 06:56
Zmiany: (1) vulnerability_discoverydate
Kompletny: 🔍

Komentarze

Do you want to use VulDB in your project?

Use the official API to access entries easily!