Ansible Engine/Ansible Tower Decryption /tmp privilege escalation

wpiseditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Exploit Aktualna Cena (≈)
CTI Interest Score
3.7$0-$5k0.00

W Ansible Engine i Ansible Tower została odkryta podatność. Podatnością dotknięta jest nieznana funkcja w pliku /tmp w komponencie Decryption Handler. Poprzez manipulowanie przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przekroczenie uprawnień. Wpływa to na poufność.

Informacja o podatności została podana do publicznej wiadomości w dniu 2020-05-11 w formie nie określono bug report (Bugzilla). Raport na temat podatności został udostępniony pod adresem bugzilla.redhat.com. Podatność ta posiada unikalny identyfikator CVE-2020-10685. Atak musi zostać przeprowadzony lokalnie. Pojedyncze uwierzytelnienie jest potrzebne do eksploitacji. Szczegóły techniczne są znane, ale exploit nie jest dostępny.

Aktualizacja eliminuje tę podatność.

Dotyczyedit

  • Ansible Engine do 2.7.16/2.8.10/2.9.6
  • Ansible Tower do 3.4.5/3.5.5/3.6.3

Produktinfoedit

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 3.9
VulDB Meta Temp Score: 3.7

VulDB Base Score: 2.8
VulDB Temp Score: 2.7
VulDB Vector: 🔒
VulDB Niezawodność: 🔍

NVD Base Score: 5.0
NVD Vector: 🔒

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Niezawodność: 🔍

Exploitinfoedit

Klasa: Przekroczenie uprawnień
CWE: CWE-377
ATT&CK: Nieznany

Lokalny: Tak
Zdalny: Nie

Dostępność: 🔒
Status: Nie określono

Price Prediction: 🔍
Aktualny szacunek cena: 🔒

0-Dayunlockunlockunlockunlock
Dzisiajunlockunlockunlockunlock

Threat Intelligenceinfoedit

Threat: 🔍
Adversaries: 🔍
Geopolitics: 🔍
Economy: 🔍
Predictions: 🔍
Przeciwdziałanie: 🔍

Przeciwdziałanieinfoedit

Zalecane: Upgrade
Status: 🔍

0-Day Time: 🔒

Oś czasuinfoedit

2020-03-20 CVE przypisany
2020-05-11 +52 dni Raport opublikowany
2020-05-12 +1 dni Wpis VulDB utworzony
2020-10-16 +157 dni Wpis VulDB zaktualizowany

Źródłainfoedit

Raport: bugzilla.redhat.com
Status: Nie określono
Potwierdzenie: 🔒

CVE: CVE-2020-10685 (🔒)

Wpisinfoedit

Stworzono: 2020-05-12 07:43 AM
Aktualizacje: 2020-10-16 02:07 PM
Changes: (1) source_cve_cna
Complete: 🔍

Comments

No comments yet. Please log in to comment.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!