NYUCCL psiTurk até 3.2.0 psiturk/experiment.py mode Privilege Escalation
CVSS Meta Temp score | Preço de exploração actual (≈) | Nota de Interesse CTI |
---|---|---|
6.4 | $0-$5k | 0.07 |
Uma vulnerabilidade, que foi classificada como crítico, foi encontrada em NYUCCL psiTurk até 3.2.0. Afectado é uma função desconhecida do ficheiro psiturk/experiment.py. A manipulação do argumento mode com uma entrada desconhecida leva a uma fraqueza desconhecida. Usar a CWE para declarar o problema leva à CWE-1336. O aconselhamento é partilhado para download em github.com.
A vulnerabilidade é identificada como CVE-2021-4315. Os detalhes técnicos estão disponíveis. A vulnerabilidade não é bem conhecida. Além disso, há uma exploração disponível. A exploração foi divulgada ao público e pode ser utilizada. O projecto MITRE ATT&CK declara a técnica de ataque como T1221.
É declarado como proof-of-concept. É possível descarregar a exploração em github.com. Como 0 dia, o preço estimado do subsolo foi de cerca de $0-$5k.
A actualização para a versão 3.2.1 é capaz de abordar esta questão. A versão actualizada está pronta para ser descarregada em github.com. O nome do adesivo é 47787e15cecd66f2aa87687bf852ae0194a4335f. O bugfix está pronto para download em github.com. Recomenda-se a actualização do componente afectado. O parecer contém a seguinte observação:
Fixed an issue where users could pass arbitrary Python code to be executed on the server to the mode HTTP arg
Produto
Fabricante
Nome
Versão
Licença
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 6.6VulDB Meta Temp score: 6.4
VulDB Pontuação Base: 5.5
VulDB Pontuação da Tempestade: 5.0
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 8.8
NVD Vector: 🔍
CNA Pontuação Base: 5.5
CNA Vector (VulDB): 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
---|---|---|---|---|---|
Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação da Tempestade: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Privilege EscalationCWE: CWE-1336 / CWE-791 / CWE-790
ATT&CK: T1221
Local: Não
Remoto: Parcial
Disponibilidade: 🔍
Aceda a: Público
Estado: Proof-of-Concept
Descarregar: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência dos preços: 🔍
Estimativa de preço actual: 🔍
0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
---|---|---|---|---|
Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de Ameaças
Interesse: 🔍Actores Activos: 🔍
Grupos APT activos: 🔍
Contra-medidas
Recomendação: ActualizaçãoEstado: 🔍
Tempo 0-Dia: 🔍
Actualização: psiTurk 3.2.1
Patch: 47787e15cecd66f2aa87687bf852ae0194a4335f
Linha do tempo
27/01/2023 🔍27/01/2023 🔍
27/01/2023 🔍
23/02/2023 🔍
Fontes
Aconselhamento: 517Estado: Confirmado
CVE: CVE-2021-4315 (🔍)
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrada
Criado em: 27/01/2023 23h47Actualizado em: 23/02/2023 18h25
Ajustamentos: 27/01/2023 23h47 (48), 23/02/2023 18h18 (2), 23/02/2023 18h25 (28)
Completo: 🔍
Ainda sem comentários. Idiomas: pt + en.
Por favor inicie sessão para comentar.