Lithium Forum 2017 Q1 Compose Message upload_url эскалация привилегий
В критический обнаружена уязвимость, классифицированная как Lithium Forum 2017 Q1. Затронута неизвестная функция компонента Compose Message Handler. Определение CWE для уязвимости следующее CWE-918. Консультация представлена на сайте vulnerability-lab.com. Выявление этой уязвимости является CVE-2017-20106. Для проведения этой атаки необходим локальный доступ. Имеются технические подробности. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Объявляется proof-of-concept. Эксплойт доступен по адресу vulnerability-lab.com. Мы ожидаем, что 0-день стоил приблизительно $0-$5k.