Nette до 3.0.5 URL Parameter эскалация привилегий

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
7.4$0-$5k0.00

СводкаИнформация

Уязвимость была найдена в Nette до 3.0.5. Она была оценена как критический. Вовлечена неизвестная функция компонента URL Handler. Манипуляция в рамках Parameter приводит к эскалация привилегий. Эта уязвимость обозначается как CVE-2020-15227. Атака может быть осуществлена удаленно. Более того, существует эксплойт. Рекомендуется обновить затронутый компонент.

ПодробностиИнформация

Уязвимость была найдена в Nette до 3.0.5. Она была оценена как критический. Вовлечена неизвестная функция компонента URL Handler. Манипуляция в рамках Parameter приводит к эскалация привилегий. Использование CWE для описания проблемы приводит к CWE-74. Слабость была опубликована 01.10.2020 (GitHub Repository). Консультация доступна для загрузки на github.com.

Эта уязвимость обозначается как CVE-2020-15227. Назначение CVE произошло 25.06.2020. Атака может быть осуществлена удаленно. Технические подробности отсутствуют. Для проведения атаки требуется высокая сложность. Известно, что эксплуатация является сложной. Популярность этой уязвимости ниже среднего. Более того, существует эксплойт. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k. Согласно MITRE ATT&CK, техника атаки, используемая в данной проблеме, имеет значение T1055.

Объявляется Высокофункциональный. В 0-дневный период предполагаемая подземная цена составляла около $0-$5k.

Обновление до 2.0.19, 2.1.13, 2.2.10, 2.3.14, 2.4.16 и 3.0.6 может устранить эту уязвимость. Рекомендуется обновить затронутый компонент.

ПродуктИнформация

Имя

Версия

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 7.6
VulDB Meta Temp Score: 7.4

VulDB Базовый балл: 6.5
VulDB Временная оценка: 6.2
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 8.7
NVD Вектор: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: эскалация привилегий
CWE: CWE-74 / CWE-707 / CWE-20
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Атакованный

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

0-дневное время: 🔍

Обновление: Nette 2.0.19/2.1.13/2.2.10/2.3.14/2.4.16/3.0.6

ХронологияИнформация

25.06.2020 🔍
01.10.2020 +98 дни 🔍
02.10.2020 +1 дни 🔍
14.07.2024 +1381 дни 🔍

ИсточникиИнформация

Консультация: github.com
Статус: Подтверждённый
Подтверждение: 🔍

CVE: CVE-2020-15227 (🔍)
GCVE (CVE): GCVE-0-2020-15227
GCVE (VulDB): GCVE-100-162155
scip Labs: https://www.scip.ch/en/?labs.20161013

ВходИнформация

Создано: 02.10.2020 07:26
Обновлено: 14.07.2024 09:09
Изменения: 02.10.2020 07:26 (39), 02.10.2020 07:31 (11), 14.11.2020 09:35 (1), 15.11.2020 12:32 (1), 15.11.2020 12:35 (7), 14.07.2024 09:08 (22), 14.07.2024 09:09 (4)
Завершенный: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Обсуждение

Комментариев пока нет. Языки: ru + be + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Want to stay up to date on a daily basis?

Enable the mail alert feature now!