ua-parser-js 0.7.29/0.8.0/1.0.0 na NPM Crypto Mining privilege escalation

CVSS Wynik metatemperaturyExploit Aktualna Cena (≈)Wynik odsetkowy CTI
4.8$0-$5k0.19

Odkryto lukę w ua-parser-js 0.7.29/0.8.0/1.0.0 na NPM (NPM Package). Problemem dotknięta jest nieznana funkcja w komponencie Crypto Mining. Poprzez manipulację przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przekroczenie uprawnień. Dokładne konsekwencje udanego ataku nie zostały dotąd poznane.

Informacja o podatności została opublikowana w dniu 2021-10-27 jako GHSA-pjwm-rvh2-c87w. Raport na temat podatności został udostępniony pod adresem github.com. Podatność ta jest zwana CVE-2021-4229. Szczegóły techniczne są nieznane, ale exploit jest dostępny.

Uważa się go za proof-of-concept.

Aktualizacja do wersji 0.7.30, 0.8.1 lub 1.0.1 eliminuje tę podatność.

Produktinfo

Rodzaj

Imię

Wersja

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv3info

VulDB Wynik metabazy: 5.0
VulDB Wynik metatemperatury: 4.8

VulDB Wynik podstawowy: 5.0
VulDB Wynik tymczasowy: 4.8
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
WektorMożliwość wykorzystaniaUwierzytelnianiePoufnośćIntegralnośćDostępność
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować

VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍

Exploitinfo

Klasa: Przekroczenie uprawnień
CWE: CWE-912
CAPEC: 🔍
ATT&CK: 🔍

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayodblokowaćodblokowaćodblokowaćodblokować
Dzisiajodblokowaćodblokowaćodblokowaćodblokować

Inteligencja Zagrożeńinfo

Wysiłek: 🔍
Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍

Przeciwdziałanieinfo

Zalecane: Upgrade
Status: 🔍

0-dniowy czas: 🔍

Upgrade: ua-parser-js 0.7.30/0.8.1/1.0.1

Oś czasuinfo

2021-10-27 🔍
2021-10-27 +0 dni 🔍
2022-05-24 +209 dni 🔍

Źródłainfo

Raport: GHSA-pjwm-rvh2-c87w
Status: Potwierdzone
Potwierdzenie: 🔍

CVE: CVE-2021-4229 (🔍)
scip Labs: https://www.scip.ch/en/?labs.20161013

Wpisinfo

Stworzono: 2021-10-27 07:26
Aktualizacje: 2022-05-24 15:44
Zmiany: 2021-10-27 07:26 (41), 2022-05-24 15:44 (2)
Kompletny: 🔍
Cache ID: 18:6C1:40

Dyskusja

Brak komentarzy. Języki: pl + en.

Zaloguj się, aby skomentować.

Interested in the pricing of exploits?

See the underground prices here!