VDB-269105 · CVE-2024-22263 · GCVE-0-2024-22263

VMware Spring Cloud Skipper до 2.10.x/2.11.2 Upload Package Request эскалация привилегий

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
8.8	$5k-$25k	0.00

СводкаИнформация

Уязвимость была найдена в VMware Spring Cloud Skipper до 2.10.x/2.11.2. Она была оценена как очень критический. Неизвестная функция компонента Upload Package Request Handler поражена. Манипуляция приводит к эскалация привилегий. Эта уязвимость обозначается как CVE-2024-22263. Возможно осуществить атаку удалённо. Эксплойт отсутствует.

ПодробностиИнформация

Уязвимость была найдена в VMware Spring Cloud Skipper до 2.10.x/2.11.2. Она была оценена как очень критический. Неизвестная функция компонента Upload Package Request Handler поражена. Манипуляция приводит к эскалация привилегий. Использование CWE для описания проблемы приводит к CWE-434. Слабость была опубликована. Консультация доступна по адресу spring.io.

Эта уязвимость обозначается как CVE-2024-22263. CVE был назначен 08.01.2024. Возможно осуществить атаку удалённо. Техническая информация отсутствует. Популярность этой уязвимости ниже среднего. Эксплойт отсутствует. В настоящее время текущая цена эксплойта может составлять примерно USD $5k-$25k. Проект MITRE ATT&CK объявляет технику атаки как T1608.002.

Объявляется Не определено.

ПродуктИнформация

Тип

Cloud Software

Поставщик

VMware

Имя

Spring Cloud Skipper

Версия

Лицензия

коммерческий

Веб-сайт

Поставщик: https://www.vmware.com/

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 8.8
VulDB Meta Temp Score: 8.8

VulDB Базовый балл: 8.8
VulDB Временная оценка: 8.8
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CNA Базовый балл: 8.8
CNA Вектор (VMware): 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: эскалация привилегий
CWE: CWE-434 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: о смягчении не известно
Статус: 🔍

0-дневное время: 🔍

ХронологияИнформация

08.01.2024 🔍
19.06.2024 +162 дни 🔍
19.06.2024 +0 дни 🔍
20.06.2024 +1 дни 🔍

ИсточникиИнформация

Поставщик: vmware.com

Консультация: spring.io
Статус: Не определено

CVE: CVE-2024-22263 (🔍)
GCVE (CVE): GCVE-0-2024-22263
GCVE (VulDB): GCVE-100-269105
scip Labs: https://www.scip.ch/en/?labs.20060413

ВходИнформация

Создано: 19.06.2024 18:04
Обновлено: 20.06.2024 10:14
Изменения: 19.06.2024 18:04 (62), 20.06.2024 10:14 (1)
Завершенный: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Обсуждение

Good morning, I cannot find the CPE in the NVD NIST dictionary; instead, I find the following: vmware:spring_cloud_data_flow. Could you align it with the official CPE?
We'd appreciate very much.
Best Regards,
TEAM CERT

We don't think that this is the same product. Instead we expect the official NIST CPE Dictionary to get an update.

Is Skipper a component of Spring Cloud Data Flow?

According to https://spring.io/projects/spring-cloud-skipper it is a dedicated product that has nothing to do with https://spring.io/projects/spring-cloud-dataflow

NVD NIST added the vmware:spring_cloud_data_flow cpe to CVE-2024-37084. Do you plan to do the same for CVE-2024-22263?
Thanks.

It looks like NIST is not assigning a CPE to CVE-2024-22263 because the situation remains unclear or there is no official CPE entry yet. Therefore, our view has not changed yet and our extended CPE definition remains the most valid.

◂ Предыдущий Обзор Далее ▸

Do you need the next level of professionalism?

Upgrade your account now!