NYUCCL psiTurk até 3.2.0 psiturk/experiment.py mode Privilege Escalation

CVSS Meta Temp scorePreço de exploração actual (≈)Nota de Interesse CTI
6.4$0-$5k0.07

Uma vulnerabilidade, que foi classificada como crítico, foi encontrada em NYUCCL psiTurk até 3.2.0. Afectado é uma função desconhecida do ficheiro psiturk/experiment.py. A manipulação do argumento mode com uma entrada desconhecida leva a uma fraqueza desconhecida. Usar a CWE para declarar o problema leva à CWE-1336. O aconselhamento é partilhado para download em github.com.

A vulnerabilidade é identificada como CVE-2021-4315. Os detalhes técnicos estão disponíveis. A vulnerabilidade não é bem conhecida. Além disso, há uma exploração disponível. A exploração foi divulgada ao público e pode ser utilizada. O projecto MITRE ATT&CK declara a técnica de ataque como T1221.

É declarado como proof-of-concept. É possível descarregar a exploração em github.com. Como 0 dia, o preço estimado do subsolo foi de cerca de $0-$5k.

A actualização para a versão 3.2.1 é capaz de abordar esta questão. A versão actualizada está pronta para ser descarregada em github.com. O nome do adesivo é 47787e15cecd66f2aa87687bf852ae0194a4335f. O bugfix está pronto para download em github.com. Recomenda-se a actualização do componente afectado. O parecer contém a seguinte observação:

Fixed an issue where users could pass arbitrary Python code to be executed on the server to the mode HTTP arg

Produtoinformação

Fabricante

Nome

Versão

Licença

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.6
VulDB Meta Temp score: 6.4

VulDB Pontuação Base: 5.5
VulDB Pontuação da Tempestade: 5.0
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 8.8
NVD Vector: 🔍

CNA Pontuação Base: 5.5
CNA Vector (VulDB): 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação da Tempestade: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Privilege Escalation
CWE: CWE-1336 / CWE-791 / CWE-790
ATT&CK: T1221

Local: Não
Remoto: Parcial

Disponibilidade: 🔍
Aceda a: Público
Estado: Proof-of-Concept
Descarregar: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência dos preços: 🔍
Estimativa de preço actual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Inteligência de Ameaçasinformação

Interesse: 🔍
Actores Activos: 🔍
Grupos APT activos: 🔍

Contra-medidasinformação

Recomendação: Actualização
Estado: 🔍

Tempo 0-Dia: 🔍

Actualização: psiTurk 3.2.1
Patch: 47787e15cecd66f2aa87687bf852ae0194a4335f

Linha do tempoinformação

27/01/2023 🔍
27/01/2023 +0 Dias 🔍
27/01/2023 +0 Dias 🔍
23/02/2023 +27 Dias 🔍

Fontesinformação

Aconselhamento: 517
Estado: Confirmado

CVE: CVE-2021-4315 (🔍)
scip Labs: https://www.scip.ch/en/?labs.20161013

Entradainformação

Criado em: 27/01/2023 23h47
Actualizado em: 23/02/2023 18h25
Ajustamentos: 27/01/2023 23h47 (48), 23/02/2023 18h18 (2), 23/02/2023 18h25 (28)
Completo: 🔍

Discussão

Ainda sem comentários. Idiomas: pt + en.

Por favor inicie sessão para comentar.

Do you want to use VulDB in your project?

Use the official API to access entries easily!