vova07 Yii2 FileAPI Widget до 0.1.8 actions/UploadAction.php run file межсайтовый скриптинг
| CVSS Meta Temp Score | Текущая цена эксплуатации (≈) | Балл интереса CTI |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
Уязвимость, классифицированная как проблемные, была найдена в vova07 Yii2 FileAPI Widget до 0.1.8. Затронута функция run файла actions/UploadAction.php. Определение CWE для уязвимости следующее CWE-79. Консультация представлена на сайте github.com.
Эта уязвимость известна как CVE-2017-20158. Атака может быть осуществлена удаленно. Имеются технические подробности. Популярность этой уязвимости ниже среднего. Эксплойт отсутствует. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK использует технику атаки T1059.007 для этой проблемы.
Объявляется Не определено. Мы ожидаем, что 0-день стоил приблизительно $0-$5k.
Обновление до версии 0.1.9 способно решить эту проблему. Обновленную версию можно скачать по адресу github.com. Название патча следующее c00d1e4fc912257fca1fce66d7a163bdbb4c8222. Исправление готово для загрузки по адресу github.com. Рекомендуется обновить затронутый компонент.
Продукт
Поставщик
Имя
Версия
Лицензия
Поддержка
- end of life
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Вектор: 🔍
VulDB Надежность: 🔍
CVSSv3
VulDB Meta Base Score: 4.4VulDB Meta Temp Score: 4.3
VulDB Базовый балл: 3.5
VulDB Временная оценка: 3.4
VulDB Вектор: 🔍
VulDB Надежность: 🔍
NVD Базовый балл: 6.1
NVD Вектор: 🔍
CNA Базовый балл: 3.5
CNA Вектор (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| разблокировать | разблокировать | разблокировать | разблокировать | разблокировать | разблокировать |
| разблокировать | разблокировать | разблокировать | разблокировать | разблокировать | разблокировать |
| разблокировать | разблокировать | разблокировать | разблокировать | разблокировать | разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надежность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: межсайтовый скриптингCWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Локальный: Нет
Удаленный: Да
Доступность: 🔍
Статус: Не определено
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогнозирование цены: 🔍
Оценка текущей цены: 🔍
| 0-Day | разблокировать | разблокировать | разблокировать | разблокировать |
|---|---|---|---|---|
| Сегодня | разблокировать | разблокировать | разблокировать | разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендуется: ОбновлениеСтатус: 🔍
0-дневное время: 🔍
Обновление: Yii2 FileAPI Widget 0.1.9
Патч: c00d1e4fc912257fca1fce66d7a163bdbb4c8222
Временная шкала
31.12.2022 🔍31.12.2022 🔍
31.12.2022 🔍
26.01.2023 🔍
Источники
Консультация: c00d1e4fc912257fca1fce66d7a163bdbb4c8222Статус: Подтвержденный
CVE: CVE-2017-20158 (🔍)
Смотрите также: 🔍
Вход
Создано: 31.12.2022 11:05Обновлено: 26.01.2023 14:25
Изменения: 31.12.2022 11:05 (46), 26.01.2023 14:18 (2), 26.01.2023 14:20 (28), 26.01.2023 14:25 (1)
Завершить: 🔍
Cache ID: 13:872:103
Комментариев пока нет. Языки: ru + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.