MediaWiki até 1.27.1/1.28.0 Temp Directory Elevação de Privilégios

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
6.4	$0-$5k	0.00

Sumárioinformação

Detectou-se uma vulnerabilidade classificada como crítico em MediaWiki até 1.27.1/1.28.0. Afetado é uma função desconhecida do componente Temp Directory Handler. A manipulação resulta em Elevação de Privilégios. Esta vulnerabilidade é conhecida como CVE-2017-0367. Existe a possibilidade de executar o ataque de forma remota. Não existe exploit disponível. Recomenda-se atualizar o componente afetado.

Detalhesinformação

Detectou-se uma vulnerabilidade classificada como crítico em MediaWiki até 1.27.1/1.28.0. Afetado é uma função desconhecida do componente Temp Directory Handler. A manipulação resulta em Elevação de Privilégios. Ao utilizar CWE para declarar o problema, isso direciona para CWE-264. A falha foi descoberta em 06/04/2018. Esta vulnerabilidade foi publicada 13/04/2018 (Site). O comunicado está disponível para download em lists.wikimedia.org.

Esta vulnerabilidade é conhecida como CVE-2017-0367. A atribuição do CVE ocorreu em 29/11/2016. Existe a possibilidade de executar o ataque de forma remota. Não há detalhes técnicos disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Não existe exploit disponível. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. Esta vulnerabilidade é atribuída a T1068 pelo projecto MITRE ATT&CK.

Encontra-se declarado como não definido. Como 0-day, o preço estimado no mercado clandestino era em torno de $0-$5k. O Nessus oferece um plugin com o ID 99408 para detecção de vulnerabilidades. Encontra-se atribuído à família Fedora Local Security Checks. O plugin está em execução no contexto do tipo l. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 11791 (Mediawiki Multiple Vulnerabilities (MediaWiki Security Release: 1.28.1/1.27.2/1.23.16)).

A atualização para a versão 1.27.2 e 1.28.1 é capaz de corrigir esta questão. Recomenda-se atualizar o componente afetado.

A vulnerabilidade está também documentada noutras bases de dados de vulnerabilidade: Tenable (99408).

Produtoinformação

Tipo

• Content Management System

Nome

• MediaWiki

Versão

• 1.0
• 1.1
• 1.2
• 1.3
• 1.4
• 1.5
• 1.6
• 1.7
• 1.8
• 1.9
• 1.10
• 1.11
• 1.12
• 1.13
• 1.14
• 1.15
• 1.16
• 1.17
• 1.18
• 1.19
• 1.20
• 1.21
• 1.22
• 1.23
• 1.24
• 1.25
• 1.26
• 1.27
• 1.27.0
• 1.27.1
• 1.28.0

Licença

• código aberto

Site

• Produto: https://www.mediawiki.org/wiki/MediaWiki

CPE 2.3informação

• 🔍
• 🔍
• 🔍

CPE 2.2informação

• 🔍
• 🔍
• 🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.6
VulDB Meta Pontuação Temporária: 6.4

VulDB Pontuação Base: 4.3
VulDB Pontuação Temporária: 4.1
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 8.8
NVD Vetor: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Elevação de Privilégios
CWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 99408
Nessus Nome: Fedora 25 : mediawiki (2017-3fb95ed01f)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍

OpenVAS ID: 867773
OpenVAS Nome: Fedora Update for mediawiki FEDORA-2017-3fb95ed01f
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo 0-dia: 🔍

Atualização: MediaWiki 1.27.2/1.28.1

Linha do tempoinformação

29/11/2016 🔍
15/04/2017 +137 dias 🔍
17/04/2017 +2 dias 🔍
06/04/2018 +354 dias 🔍
13/04/2018 +6 dias 🔍
13/04/2018 +0 dias 🔍
16/04/2018 +3 dias 🔍
27/02/2023 +1778 dias 🔍

Fontesinformação

Produto: mediawiki.org

Aconselhamento: FEDORA-2017-3fb95ed01f
Estado: Não definido
Confirmação: 🔍

CVE: CVE-2017-0367 (🔍)
GCVE (CVE): GCVE-0-2017-0367
GCVE (VulDB): GCVE-100-116160
Veja também: 🔍

Entradainformação

Criado: 16/04/2018 09h24
Atualizado: 27/02/2023 16h07
Ajustamentos: 16/04/2018 09h24 (74), 24/01/2020 20h44 (1), 27/02/2023 16h07 (4)
Completo: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Discussão

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!