Red Hat Ansible до 2.7.17/2.8.9/2.9.6 win_unzip Extract-Zip Архив обход каталога

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
6.7	$0-$5k	1.29

СводкаИнформация

Уязвимость была найдена в Red Hat Ansible до 2.7.17/2.8.9/2.9.6. Она была объявлена как проблематичный. Неизвестная функция компонента win_unzip затронута. Осуществление манипуляции в контексте Архив приводит к обход каталога. Выявление этой уязвимости является CVE-2020-1737. Атака должна осуществляться локально. Эксплойт недоступен.

ПодробностиИнформация

Уязвимость была найдена в Red Hat Ansible до 2.7.17/2.8.9/2.9.6. Она была объявлена как проблематичный. Неизвестная функция компонента win_unzip затронута. Осуществление манипуляции в контексте Архив приводит к обход каталога. Определение CWE для уязвимости следующее CWE-22. Информация о слабости была опубликована 09.03.2020 как Bug Report (Bugzilla). Консультация представлена на сайте bugzilla.redhat.com.

Выявление этой уязвимости является CVE-2020-1737. Присвоение CVE было выполнено 27.11.2019. Атака должна осуществляться локально. Технические детали доступны. Комплексность атаки достаточно высока. Эксплуатация уязвимости считается затруднительной. Уровень популярности этой уязвимости ниже среднего значения. Эксплойт недоступен. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK использует технику атаки T1006 для этой проблемы.

Задано как Не определено. Мы ожидаем, что 0-день стоил приблизительно $0-$5k. Сканер уязвимостей Nessus предоставляет плагин с ID 250181 (Linux Distros Unpatched Vulnerability : CVE-2020-1737), который помогает определить наличие изъяна в целевой среде.

Информация об уязвимости также содержится в других базах данных уязвимостей: Tenable (250181).

ПродуктИнформация

Поставщик

Red Hat

Имя

Ansible

Версия

Лицензия

Открытый исходный код

Веб-сайт

Поставщик: https://www.redhat.com/

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 6.7
VulDB Meta Temp Score: 6.7

VulDB Базовый балл: 5.0
VulDB Временная оценка: 5.0
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 7.5
NVD Вектор: 🔍

CNA Базовый балл: 7.5
CNA Вектор (Red Hat, Inc.): 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: обход каталога
CWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍

Физический: Частично
Локальный: Да
Удалённый: Частично

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Nessus ID: 250181
Nessus Имя: Linux Distros Unpatched Vulnerability : CVE-2020-1737