VDB-257718 · CVE-2024-2828 · I98YSR

lakernote EasyAdmin até 20240315 IndexController.java thumbnail url direitos alargados

Uma vulnerabilidade foi encontrada em lakernote EasyAdmin até 20240315. Foi classificada como crítico. Afectado é a função thumbnail do ficheiro src/main/java/com/laker/admin/module/sys/controller/IndexController.java. A manipulação do argumento url com uma entrada desconhecida leva a direitos alargados. Usar a CWE para declarar o problema leva à CWE-918. O aconselhamento é partilhado para download em gitee.com. A vulnerabilidade é identificada como CVE-2024-2828. O ataque pode ser iniciado a partir da rede. Os detalhes técnicos estão disponíveis. Além disso, há uma exploração disponível. A exploração foi divulgada ao público e pode ser utilizada. É declarado como proof-of-concept. A exploração é partilhada para download em gitee.com. Como 0 dia, o preço estimado do subsolo foi de cerca de $0-$5k. O nome do adesivo é 23165d8cb569048c531150f194fea39f8800b8d5. O bugfix está pronto para download em gitee.com. Recomenda-se a aplicação de um remendo para resolver este problema.

Curso de tempo

Utilizador

1	45

Campo

vulnerability_cvss3_meta_tempscore	2
vulnerability_cvss3_cna_basescore	1
vulnerability_cvss2_nvd_basescore	1
source_cve_cna	1
vulnerability_cvss3_cna_a	1

Commit Conf

90%	36
70%	24
50%	12
80%	8

Approve Conf

90%	36
80%	27
70%	17

ID	Submetido	Utilizador	Campo	Alterar	Comente	Aceite	Estado	C
16210914	03/05/2024	VulD...	cvss3_cna_basescore	6.3	see CVSS documentation	03/05/2024	aceite	80
16210913	03/05/2024	VulD...	cvss2_nvd_basescore	6.5	nist.gov	03/05/2024	aceite	80
16210912	03/05/2024	VulD...	cvss3_meta_tempscore	6.0	see CVSS documentation	03/05/2024	aceite	80
16210911	03/05/2024	VulD...	cve_cna	VulDB	nvd.nist.gov	03/05/2024	aceite	70
16210910	03/05/2024	VulD...	cvss3_cna_a	L	nvd.nist.gov	03/05/2024	aceite	70
16210909	03/05/2024	VulD...	cvss3_cna_i	L	nvd.nist.gov	03/05/2024	aceite	70
16210908	03/05/2024	VulD...	cvss3_cna_c	L	nvd.nist.gov	03/05/2024	aceite	70
16210907	03/05/2024	VulD...	cvss3_cna_s	U	nvd.nist.gov	03/05/2024	aceite	70
16210906	03/05/2024	VulD...	cvss3_cna_ui	N	nvd.nist.gov	03/05/2024	aceite	70
16210905	03/05/2024	VulD...	cvss3_cna_pr	L	nvd.nist.gov	03/05/2024	aceite	70
16210904	03/05/2024	VulD...	cvss3_cna_ac	L	nvd.nist.gov	03/05/2024	aceite	70
16210903	03/05/2024	VulD...	cvss3_cna_av	N	nvd.nist.gov	03/05/2024	aceite	70
16210902	03/05/2024	VulD...	cvss2_nvd_ai	P	nvd.nist.gov	03/05/2024	aceite	70
16210901	03/05/2024	VulD...	cvss2_nvd_ii	P	nvd.nist.gov	03/05/2024	aceite	70
16210900	03/05/2024	VulD...	cvss2_nvd_ci	P	nvd.nist.gov	03/05/2024	aceite	70
16210899	03/05/2024	VulD...	cvss2_nvd_au	S	nvd.nist.gov	03/05/2024	aceite	70
16210898	03/05/2024	VulD...	cvss2_nvd_ac	L	nvd.nist.gov	03/05/2024	aceite	70
16210897	03/05/2024	VulD...	cvss2_nvd_av	N	nvd.nist.gov	03/05/2024	aceite	70
16210896	03/05/2024	VulD...	cve_nvd_summary	A vulnerability, which was classified as critical, was found in lakernote EasyAdmin up to 20240315. Affected is the function thumbnail of the file src/main/java/com/laker/admin/module/sys/controller/IndexController.java. The manipulation of the argument url leads to server-side request forgery. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The patch is identified as 23165d8cb569048c531150f194fea39f8800b8d5. It is recommended to apply a patch to fix this issue. VDB-257718 is the identifier assigned to this vulnerability.	cve.mitre.org	03/05/2024	aceite	70
16210895	03/05/2024	VulD...	cve_assigned	1711062000 (22/03/2024)	cve.mitre.org	03/05/2024	aceite	70

60 as entradas adicionais não são mais exibidas

🔒 Login Required

You need to signup and login to see more of the remaining 60 results.

◂ Voltar Visão Geral Próximo ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!