| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 6.8 | $0-$5k | 0.08 |
Podatność została odkryta w ajenti 2.1.31. Podatnością dotknięta jest nieznana funkcja w komponencie API. Dzięki manipulowaniu przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przekroczenie uprawnień. Ma to wpływ na poufność, spójność i dostępność.
Informacja o podatności została podana do publicznej wiadomości w dniu 2019-10-14 przez osobę/y Jeremy Brown jako EDB-ID 47497 w formie nie określono exploit (Exploit-DB). Raport na temat podatności został udostępniony pod adresem exploit-db.com. Podatność ta została oznaczona identyfikatorem CVE-2019-25066. Możliwe jest zdalne zainicjowanie ataku. Szczegóły techniczne są nieznane, ale publiczny exploit jest dostępny.
Exploit został stworzony przez Jeremy Brown i opublikowany później , niż raport o błędzie. Exploit można ściągnąć pod adresem exploit-db.com. Uważa się go za proof-of-concept.
Aktualizacja do wersji 2.1.32 eliminuje tę podatność. Zastosowanie poprawki 7aa146b724e0e20cfee2c71ca78fafbf53a8767c eliminuje problem. Poprawka jet dostępna pod adresem github.com. Sugeruje się, że najlepszym zabezpieczeniem jest aktualizacja do najnowszej wersji.
Błąd jest również udokumentowany w bazie podatności Exploit-DB (47497).
Produkt
Imię
Wersja
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 7.1VulDB Wynik metatemperatury: 6.8
VulDB Wynik podstawowy: 6.3
VulDB Wynik tymczasowy: 5.2
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 8.8
NVD Wektor: 🔍
CNA Wynik podstawowy: 6.3
CNA Wektor (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 🔍
Exploit
Klasa: Przekroczenie uprawnieńCWE: CWE-269 / CWE-266
ATT&CK: T1068
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Dostęp: Publiczny
Status: Proof-of-Concept
Autor: Jeremy Brown
Pobierać: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Exploit-DB: 🔍
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: UpgradeStatus: 🔍
0-dniowy czas: 🔍
Wykorzystaj czas opóźnienia: 🔍
Upgrade: ajenti 2.1.32
Poprawka: 7aa146b724e0e20cfee2c71ca78fafbf53a8767c
Oś czasu
2019-10-14 🔍2019-10-14 🔍
2019-10-14 🔍
2019-10-18 🔍
2022-06-04 🔍
2024-01-17 🔍
Źródła
Raport: EDB-ID 47497Badacz: Jeremy Brown
Status: Nie określono
CVE: CVE-2019-25066 (🔍)
scip Labs: https://www.scip.ch/en/?labs.20161013
Wpis
Stworzono: 2019-10-18 14:17Aktualizacje: 2024-01-17 08:48
Zmiany: 2019-10-18 14:17 (45), 2019-10-18 14:22 (2), 2022-06-04 10:00 (5), 2024-01-17 08:45 (3), 2024-01-17 08:48 (28)
Kompletny: 🔍
Zgłaszający: misc
Submit
Przyjęty
- Submit #103: Ajenti 2.1.31 - Remote Code Execution (przez misc)
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.