Redis на Windows dbghelp.dll эскалация привилегий ⚔ [Спорный]

Уязвимость, классифицированная как критический, была найдена в Redis. Затронута неизвестная функция в библиотеке C:/Program Files/Redis/dbghelp.dll. Использование CWE для объявления проблемы приводит к тому, что CWE-427. Консультация доступна для скачивания по адресу cnblogs.com. Эта уязвимость была названа CVE-2022-3734. Атаку можно осуществить удаленно. Имеются технические подробности. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK объявляет технику атаки как T1574. Объявляется proof-of-concept. Эксплойт можно загрузить по адресу cnblogs.com. В 0-дневный период предполагаемая подземная цена составляла около $0-$5k. В настоящее время реальное существование этой уязвимости все еще вызывает сомнения.

Поле26.11.2022 09:2126.11.2022 09:2329.11.2022 10:37
nameRedisRedisRedis
platformWindowsWindowsWindows
libraryC:/Program Files/Redis/dbghelp.dllC:/Program Files/Redis/dbghelp.dllC:/Program Files/Redis/dbghelp.dll
cwe427 (эскалация привилегий)427 (эскалация привилегий)427 (эскалация привилегий)
risk222
cvss3_vuldb_avNNN
cvss3_vuldb_acLLL
cvss3_vuldb_uiNNN
cvss3_vuldb_sUUU
cvss3_vuldb_cLLL
cvss3_vuldb_iLLL
cvss3_vuldb_aLLL
cvss3_vuldb_ePPP
cvss3_vuldb_rcRRR
urlhttps://www.cnblogs.com/J0o1ey/p/16829380.htmlhttps://www.cnblogs.com/J0o1ey/p/16829380.htmlhttps://www.cnblogs.com/J0o1ey/p/16829380.html
availability111
publicity111
urlhttps://www.cnblogs.com/J0o1ey/p/16829380.htmlhttps://www.cnblogs.com/J0o1ey/p/16829380.htmlhttps://www.cnblogs.com/J0o1ey/p/16829380.html
cveCVE-2022-3734CVE-2022-3734CVE-2022-3734
responsibleVulDBVulDBVulDB
date1666908000 (28.10.2022)1666908000 (28.10.2022)1666908000 (28.10.2022)
cvss2_vuldb_avNNN
cvss2_vuldb_acLLL
cvss2_vuldb_ciPPP
cvss2_vuldb_iiPPP
cvss2_vuldb_aiPPP
cvss2_vuldb_ePOCPOCPOC
cvss2_vuldb_rcURURUR
cvss2_vuldb_auSSS
cvss2_vuldb_rlNDNDND
cvss3_vuldb_prLLL
cvss3_vuldb_rlXXX
cvss2_vuldb_basescore6.56.56.5
cvss2_vuldb_tempscore5.65.65.6
cvss3_vuldb_basescore6.36.36.3
cvss3_vuldb_tempscore5.75.75.7
cvss3_meta_basescore6.37.57.5
cvss3_meta_tempscore5.77.37.3
price_0day$0-$5k$0-$5k$0-$5k
cve_assigned1666908000 (28.10.2022)1666908000 (28.10.2022)1666908000 (28.10.2022)
cve_nvd_summaryA vulnerability was found in Redis. It has been declared as critical. This vulnerability affects unknown code in the library C:/Program Files/Redis/dbghelp.dll. The manipulation leads to uncontrolled search path. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-212416.A vulnerability was found in Redis. It has been declared as critical. This vulnerability affects unknown code in the library C:/Program Files/Redis/dbghelp.dll. The manipulation leads to uncontrolled search path. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-212416.A vulnerability was found in Redis. It has been declared as critical. This vulnerability affects unknown code in the library C:/Program Files/Redis/dbghelp.dll. The manipulation leads to uncontrolled search path. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-212416.
cvss3_nvd_avNN
cvss3_nvd_acLL
cvss3_nvd_prNN
cvss3_nvd_uiNN
cvss3_nvd_sUU
cvss3_nvd_cHH
cvss3_nvd_iHH
cvss3_nvd_aHH
cvss3_cna_avNN
cvss3_cna_acLL
cvss3_cna_prLL
cvss3_cna_uiNN
cvss3_cna_sUU
cvss3_cna_cLL
cvss3_cna_iLL
cvss3_cna_aLL
cve_cnaVulDBVulDB
cvss3_nvd_basescore9.89.8
cvss3_cna_basescore6.36.3
notaffectedlistRedis official release
disputed1
response_summaryThe official Redis release is not affected. This issue might affect an unofficial fork or port on Windows only.

ПредыдущийОбзорДалее

Might our Artificial Intelligence support you?

Check our Alexa App!