Drupal do 7.73/8.8.10/8.9.8/9.0.7 File privilege escalation

CVSS Meta Temp ScoreExploit Aktualna Cena (≈)CTI Interest Score
6.8$0-$5k0.11

Odkryto lukę w Drupal do 7.73/8.8.10/8.9.8/9.0.7 (Content Management System). Dotknięta jest nieznana funkcja w komponencie File Handler. Poprzez manipulację przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przekroczenie uprawnień. Wpływa to na poufność, spójność i dostępność.

Informacja o podatności została opublikowana w dniu upubliczniona 2020-11-21 jako sa-core-2020-012. Raport na temat podatności został udostępniony pod adresem drupal.org. Podatność ta jest zwana CVE-2020-13671. Dostęp do sieci lokalnej jest wymagany do przeprowadzenia ataku. W celu pomyślnej eksploitacji potrzeba pojedynczego uwierzytelnienia. Ani szczegóły techniczne, ani exploit nie są publicznie dostępne.

Aktualizacja do wersji 7.74, 8.8.11, 8.9.9 lub 9.0.8 eliminuje tę podatność.

Produktinfoedytować

Rodzaj

Name

CPE 2.3infoedytować

CPE 2.2infoedytować

CVSSv3infoedytować

VulDB Meta Base Score: 7.1
VulDB Meta Temp Score: 7.0

VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Niezawodność: 🔍

NVD Base Score: 8.8
NVD Vector: 🔍

CVSSv2infoedytować

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorMożliwość wykorzystaniaUwierzytelnianieConfidentialityIntegrityDostępność
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Niezawodność: 🔍

NVD Base Score: 🔍

Exploitinfoedytować

Klasa: Przekroczenie uprawnień
CWE: CWE-434
ATT&CK: Nieznany

Lokalny: Nie
Zdalny: Częściowo

Dostępność: 🔍
Status: Nie określono
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayunlockunlockunlockunlock
Dzisiajunlockunlockunlockunlock

Inteligencja Zagrożeńinfoedytować

Wysiłek: 🔍
Active Actors: 🔍
Active APT Groups: 🔍

Przeciwdziałanieinfoedytować

Zalecane: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Drupal 7.74/8.8.11/8.9.9/9.0.8

Oś czasuinfoedytować

2020-05-28 🔍
2020-11-21 +177 dni 🔍
2020-11-21 +0 dni 🔍
2020-12-09 +18 dni 🔍

Źródłainfoedytować

Produkt: https://www.drupal.org/

Raport: sa-core-2020-012
Status: Potwierdzone
Potwierdzenie: 🔍

CVE: CVE-2020-13671 (🔍)

Wpisinfoedytować

Stworzono: 2020-11-21 07:19
Aktualizacje: 2020-12-09 16:57
Zmiany: (18) vulnerability_cvss2_nvd_basescore vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai vulnerability_cvss3_meta_basescore vulnerability_cvss3_meta_tempscore vulnerability_cvss3_nvd_basescore vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a
Kompletny: 🔍

Komentarze

Brak komentarzy. Języki: pl + en.

Zaloguj się, aby skomentować.

Do you know our Splunk app?

Download it now for free!