XWiki перед 13.10.10/14.4.6/14.9-rc-1 Request Parameter newThemeName Удалённое выполнение кода
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 8.8 | $0-$5k | 0.00 |
Сводка
Уязвимость была найдена в XWiki. Она была объявлена как критический. Неизвестная функция компонента Request Parameter Handler поражена. Манипуляция аргументом newThemeName приводит к неизвестной уязвимости. Выявление этой уязвимости является CVE-2023-26477. Атаку можно осуществить удаленно. Более того, эксплойт доступен. Рекомендуется выполнить обновление уязвимого компонента.
Подробности
Уязвимость была найдена в XWiki. Она была объявлена как критический. Неизвестная функция компонента Request Parameter Handler поражена. Манипуляция аргументом newThemeName приводит к неизвестной уязвимости. Использование классификатора CWE для обозначения проблемы ведет к CWE-95. Слабость была опубликована 02.03.2023 под идентификатором GHSA-x2qm-r4wx-8gpg. Консультация представлена на сайте github.com.
Выявление этой уязвимости является CVE-2023-26477. Присвоение CVE было выполнено 23.02.2023. Атаку можно осуществить удаленно. Технические детали доступны. Популярность этой уязвимости ниже среднего. Более того, эксплойт доступен. Эксплойт стал общедоступным и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время.
Задано как Доказательство концепции. Эксплойт можно загрузить по адресу github.com. В статусе 0-day примерная стоимость на черном рынке была около $0-$5k. .
Обновление до версии 13.10.10, 14.4.6 и 14.9-rc-1 способно решить эту проблему. Название патча следующее ea2e615f50a918802fd60b09ec87aa04bc6ea8e2. Исправление готово для загрузки по адресу github.com. Рекомендуется выполнить обновление уязвимого компонента.
Продукт
Тип
Имя
Лицензия
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 9.0VulDB Meta Temp Score: 8.8
VulDB Базовый балл: 7.3
VulDB Временная оценка: 6.6
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 9.8
NVD Вектор: 🔍
CNA Базовый балл: 10.0
CNA Вектор (GitHub, Inc.): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
Эксплуатация
Класс: Удалённое выполнение кодаCWE: CWE-95 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
0-дневное время: 🔍
Обновление: XWiki 13.10.10/14.4.6/14.9-rc-1
Патч: ea2e615f50a918802fd60b09ec87aa04bc6ea8e2
Хронология
23.02.2023 🔍02.03.2023 🔍
02.03.2023 🔍
30.03.2023 🔍
Источники
Консультация: GHSA-x2qm-r4wx-8gpgСтатус: Подтверждённый
CVE: CVE-2023-26477 (🔍)
GCVE (CVE): GCVE-0-2023-26477
GCVE (VulDB): GCVE-100-222224
scip Labs: https://www.scip.ch/en/?labs.20161013
Вход
Создано: 02.03.2023 19:38Обновлено: 30.03.2023 19:24
Изменения: 02.03.2023 19:38 (55), 30.03.2023 19:24 (11)
Завершенный: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.