Activity Log Plugin на WordPress HTTP Header X-Forwarded-For эскалация привилегий

ВходИсторияДиффjsonxmlCTI

Уязвимость была найдена в Activity Log Plugin. Она была классифицирована как критический. Затронута неизвестная функция компонента HTTP Header Handler. Использование CWE для объявления проблемы приводит к тому, что CWE-117. Консультация доступна для скачивания по адресу drive.google.com. Эта уязвимость была названа CVE-2022-3941. Атаку можно осуществить удаленно. Имеются технические подробности. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Объявляется proof-of-concept. Эксплойт можно загрузить по адресу drive.google.com. В 0-дневный период предполагаемая подземная цена составляла около $0-$5k.

Поле	11.11.2022 08:11	17.12.2022 08:23	17.12.2022 08:27
name	Activity Log Plugin	Activity Log Plugin	Activity Log Plugin
platform	WordPress	WordPress	WordPress
component	HTTP Header Handler	HTTP Header Handler	HTTP Header Handler
argument	X-Forwarded-For	X-Forwarded-For	X-Forwarded-For
cwe	117 (эскалация привилегий)	117 (эскалация привилегий)	117 (эскалация привилегий)
risk	2	2	2
cvss3_vuldb_av	N	N	N
cvss3_vuldb_ac	L	L	L
cvss3_vuldb_pr	N	N	N
cvss3_vuldb_ui	N	N	N
cvss3_vuldb_s	U	U	U
cvss3_vuldb_c	N	N	N
cvss3_vuldb_i	L	L	L
cvss3_vuldb_a	N	N	N
cvss3_vuldb_e	P	P	P
cvss3_vuldb_rc	R	R	R
url	https://drive.google.com/file/d/1YNOLomPC95rRvtk0topUhStVIa7Y8lcq/view	https://drive.google.com/file/d/1YNOLomPC95rRvtk0topUhStVIa7Y8lcq/view	https://drive.google.com/file/d/1YNOLomPC95rRvtk0topUhStVIa7Y8lcq/view
availability	1	1	1
publicity	1	1	1
url	https://drive.google.com/file/d/1x-pgK3_-uS7NWfkEt_tk4Wc9FhXk-pYX/view	https://drive.google.com/file/d/1x-pgK3_-uS7NWfkEt_tk4Wc9FhXk-pYX/view	https://drive.google.com/file/d/1x-pgK3_-uS7NWfkEt_tk4Wc9FhXk-pYX/view
cve	CVE-2022-3941	CVE-2022-3941	CVE-2022-3941
responsible	VulDB	VulDB	VulDB
date	1668121200 (11.11.2022)	1668121200 (11.11.2022)	1668121200 (11.11.2022)
type	WordPress Plugin	WordPress Plugin	WordPress Plugin
cvss2_vuldb_av	N	N	N
cvss2_vuldb_ac	L	L	L
cvss2_vuldb_au	N	N	N
cvss2_vuldb_ci	N	N	N
cvss2_vuldb_ii	P	P	P
cvss2_vuldb_ai	N	N	N
cvss2_vuldb_e	POC	POC	POC
cvss2_vuldb_rc	UR	UR	UR
cvss2_vuldb_rl	ND	ND	ND
cvss3_vuldb_rl	X	X	X
cvss2_vuldb_basescore	5.0	5.0	5.0
cvss2_vuldb_tempscore	4.3	4.3	4.3
cvss3_vuldb_basescore	5.3	5.3	5.3
cvss3_vuldb_tempscore	4.8	4.8	4.8
cvss3_meta_basescore	5.3	5.3	5.3
cvss3_meta_tempscore	4.8	4.8	5.0
price_0day	$0-$5k	$0-$5k	$0-$5k
cve_assigned		1668121200 (11.11.2022)	1668121200 (11.11.2022)
cve_nvd_summary		A vulnerability has been found in Activity Log Plugin and classified as critical. This vulnerability affects unknown code of the component HTTP Header Handler. The manipulation of the argument X-Forwarded-For leads to improper output neutralization for logs. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-213448.	A vulnerability has been found in Activity Log Plugin and classified as critical. This vulnerability affects unknown code of the component HTTP Header Handler. The manipulation of the argument X-Forwarded-For leads to improper output neutralization for logs. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-213448.
cvss3_cna_av			N
cvss3_cna_ac			L
cvss3_cna_pr			N
cvss3_cna_ui			N
cvss3_cna_s			U
cvss3_cna_c			N
cvss3_cna_i			L
cvss3_cna_a			N
cve_cna			VulDB
cvss3_cna_basescore			5.3

◂ Предыдущий Обзор Далее ▸

Do you need the next level of professionalism?

Upgrade your account now!