| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 8.2 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade classificada como crítico foi encontrada em Drupal 8.7.4. A função afetada é desconhecida do componente Workspaces Module. A manipulação com uma entrada desconhecida leva a Elevação de Privilégios. Esta vulnerabilidade está registrada como CVE-2019-6342. É possível lançar o ataque remotamente. Nenhum exploit está disponível. Recomenda-se a actualização do componente afectado.
Detalhes
Uma vulnerabilidade classificada como crítico foi encontrada em Drupal 8.7.4. A função afetada é desconhecida do componente Workspaces Module. A manipulação com uma entrada desconhecida leva a Elevação de Privilégios. Usar CWE para declarar o problema leva a CWE-20. A fraqueza foi publicada 17/07/2019 por Dave Botsch como SA-CORE-2019-008 como Security Advisory (Site). O boletim está compartilhado para download em drupal.org.
Esta vulnerabilidade está registrada como CVE-2019-6342. O CVE foi atribuído em 15/01/2019. É possível lançar o ataque remotamente. Detalhes técnicos não estão disponíveis. Esta vulnerabilidade tem popularidade abaixo da média. Nenhum exploit está disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. A recomendação ressalta:
In Drupal 8.7.4, when the experimental Workspaces module is enabled, an access bypass condition is created.
É declarado como não definido. Como 0 dia, o preço estimado do subsolo foi de cerca de $0-$5k.
A actualização para a versão 8.7.5 é capaz de abordar esta questão. A versão atualizada está disponível para download em drupal.org. Recomenda-se a actualização do componente afectado. O comunicado contém a seguinte observação:
This can be mitigated by disabling the Workspaces module. It does not affect any release other than Drupal 8.7.4. Drupal 8.7.3 and earlier, Drupal 8.6.x and earlier, and Drupal 7.x are not affected. Note, manual step needed. For sites with the Workspaces module enabled, update.php needs to run to ensure a required cache clear. If there is a reverse proxy cache or content delivery network (e.g. Varnish, CloudFlare) it is also advisable to clear these as well.
Não afetado
- Drupal até 8.7.3
Produto
Tipo
Nome
Versão
Licença
Site
- Produto: https://www.drupal.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 8.5VulDB Meta Pontuação Temporária: 8.4
VulDB Pontuação Base: 7.3
VulDB Pontuação Temporária: 7.0
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 9.8
NVD Vetor: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Elevação de PrivilégiosCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Atualização: Drupal 8.7.5
Linha do tempo
15/01/2019 🔍17/07/2019 🔍
17/07/2019 🔍
19/07/2019 🔍
08/07/2020 🔍
Fontes
Produto: drupal.orgAconselhamento: SA-CORE-2019-008
Pessoa: Dave Botsch
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2019-6342 (🔍)
GCVE (CVE): GCVE-0-2019-6342
GCVE (VulDB): GCVE-100-138347
Vários: 🔍
Entrada
Criado: 19/07/2019 18h08Atualizado: 08/07/2020 16h58
Ajustamentos: 19/07/2019 18h08 (64), 08/07/2020 16h58 (2)
Completo: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.