Lithium Forum 2017 Q1 Compose Message upload_url 权限升级

分类为致命的漏洞已在Lithium Forum 2017 Q1中发现。 此漏洞会影响某些未知进程的组件Compose Message Handler。 手动调试的软件参数:upload_url不合法输入可导致 权限升级。 漏洞的CWE定义是 CWE-918。 此漏洞的脆弱性 2017-02-20由公示人Vibhuti R V Nath、公示人身份VL-ID 2030、公示人类型为公告 (Website)所公布。 分享公告的网址是vulnerability-lab.com。 该漏洞被标识为CVE-2017-20106, 攻击需要在本地进行。 有技术细节可用。 此外还有一个漏洞可利用。 该漏洞利用已公开,可能会被利用。 当前漏洞利用价值为美元大约是 $0-$5k。 它被宣布为proof-of-concept。 以下网址提供该漏洞利用:vulnerability-lab.com。 我们估计的零日攻击价值约为$0-$5k。 该漏洞被披露后,此前未曾发表过可能的缓解措施。

字段2017-02-24 15時59分2020-08-17 10時27分2022-06-25 18時21分
vendorLithiumLithiumLithium
nameForumForumForum
version2017 Q12017 Q12017 Q1
componentCompose Message HandlerCompose Message HandlerCompose Message Handler
argumentupload_urlupload_urlupload_url
risk222
cvss2_vuldb_basescore4.14.14.1
cvss2_vuldb_tempscore3.53.53.5
cvss2_vuldb_ciPPP
cvss2_vuldb_iiPPP
cvss2_vuldb_aiPPP
cvss3_meta_basescore5.35.35.3
cvss3_meta_tempscore4.84.84.8
cvss3_vuldb_basescore5.35.35.3
cvss3_vuldb_tempscore4.84.84.8
cvss3_vuldb_cLLL
cvss3_vuldb_iLLL
cvss3_vuldb_aLLL
date1487548800 (2017-02-20)1487548800 (2017-02-20)1487548800 (2017-02-20)
locationWebsiteWebsiteWebsite
typeAdvisoryAdvisoryAdvisory
urlhttps://www.vulnerability-lab.com/get_content.php?id=2030https://www.vulnerability-lab.com/get_content.php?id=2030https://www.vulnerability-lab.com/get_content.php?id=2030
identifierVL-ID 2030VL-ID 2030VL-ID 2030
person_nameVibhuti R V NathVibhuti R V NathVibhuti R V Nath
availability111
date1487548800 (2017-02-20)1487548800 (2017-02-20)1487548800 (2017-02-20)
publicity111
urlhttps://www.vulnerability-lab.com/get_content.php?id=2030https://www.vulnerability-lab.com/get_content.php?id=2030https://www.vulnerability-lab.com/get_content.php?id=2030
price_0day$0-$5k$0-$5k$0-$5k
cvss3_vuldb_uiNNN
cvss2_vuldb_ePOCPOCPOC
cvss2_vuldb_rlNDNDND
cvss2_vuldb_rcURURUR
cvss3_vuldb_ePPP
cvss3_vuldb_rlXXX
cvss3_vuldb_rcRRR
cvss2_vuldb_avLLL
cvss2_vuldb_acMMM
cvss2_vuldb_auSSS
cvss3_vuldb_avLLL
cvss3_vuldb_acLLL
cvss3_vuldb_prLLL
cvss3_vuldb_sUUU
typeForum SoftwareForum Software
cwe0918 (权限升级)918 (权限升级)
cveCVE-2017-20106
responsibleVulDB

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!