automad जोपर्यंत 1.10.9 User Creation dashboard?controller=UserCollection::createUser क्रॉस साइट विनंती फसवणूक
| CVSS मेटा टेम्प स्कोअर | सध्याची शोषक किंमत (≈) | सीटीआई इंटरेस्ट स्कोअर |
|---|---|---|
| 4.9 | $0-$5k | 0.00 |
सारांश
एक असुरक्षितता जी समस्याग्रस्त म्हणून वर्गीकृत आहे, ती automad जोपर्यंत 1.10.9 मध्ये आढळली आहे. प्रभावित आहे अज्ञात फंक्शन फाइल /dashboard?controller=UserCollection::createUser च्या घटक User Creation Handler च्या. सॉफ्टवेअरमध्ये केलेले बदल क्रॉस साइट विनंती फसवणूक यास कारणीभूत ठरतात. ही दुर्बलता CVE-2023-7038 म्हणून ओळखली जाते. हल्ला दूरस्थपणे सुरू करणे शक्य आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
तपशील
एक असुरक्षितता जी समस्याग्रस्त म्हणून वर्गीकृत आहे, ती automad जोपर्यंत 1.10.9 मध्ये आढळली आहे. प्रभावित आहे अज्ञात फंक्शन फाइल /dashboard?controller=UserCollection::createUser च्या घटक User Creation Handler च्या. सॉफ्टवेअरमध्ये केलेले बदल क्रॉस साइट विनंती फसवणूक यास कारणीभूत ठरतात. CWE वापरून समस्या घोषित केल्याने CWE-352 कडे नेले जाते. कमजोरी प्रकाशित करण्यात आली होती 21/12/2023. सल्ला डाउनलोडसाठी github.com येथे शेअर केला आहे.
ही दुर्बलता CVE-2023-7038 म्हणून ओळखली जाते. हल्ला दूरस्थपणे सुरू करणे शक्य आहे. तांत्रिक तपशील उपलब्ध आहेत. ही असुरक्षितता सामान्यपेक्षा कमी लोकप्रिय आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे. शोषण सार्वजनिकपणे उघड झाले आहे आणि वापरले जाऊ शकते. सध्याच्या घडीला अंदाजे USD $0-$5k असू शकतो.
हे प्रूफ-ऑफ-कॉन्सेप्ट म्हणून घोषित केले आहे. शोषण डाउनलोडसाठी github.com येथे शेअर केले आहे. 0-डे म्हणून अंदाजे अंडरग्राउंड किंमत सुमारे $0-$5k होती.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
उत्पादन
नाम
आवृत्ती:
CPE 2.3
CPE 2.2
CVSSv4
VulDB सदिश: 🔍VulDB विश्वसनीयता:: 🔍
CVSSv3
VulDB मेटा बेस स्कोअर: 5.0VulDB मेटा टेम्प स्कोअर: 4.9
VulDB बेस स्कोअर: 4.3
VulDB टेम्प स्कोअर: 3.9
VulDB सदिश: 🔍
VulDB विश्वसनीयता:: 🔍
NVD बेस स्कोअर: 6.5
NVD सदिश: 🔍
CNA बेस स्कोअर: 4.3
CNA सदिश (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | संमिश्रता | प्रमाणीकरण | गोपनीयता[संपादन]। | सचोटी | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
VulDB बेस स्कोअर: 🔍
VulDB टेम्प स्कोअर: 🔍
VulDB विश्वसनीयता:: 🔍
NVD बेस स्कोअर: 🔍
शोषण करणे:
वर्ग: क्रॉस साइट विनंती फसवणूकCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
शारीरिक: नाही
स्थानिक: नाही
रिमोट: हो
उपलब्धता: 🔍
प्रवेश करा: सार्वजनिक
स्थान: प्रूफ-ऑफ-कॉन्सेप्ट
डाउनलोड करा: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
किंमत ीचा अंदाज: 🔍
सध्याच्या किमतीचा अंदाज: 🔍
| 0-Day | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
|---|---|---|---|---|
| आज | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
थ्रेट इंटेलिजन्स
व्याज: 🔍सक्रिय अभिनेते: 🔍
सक्रिय एपीटी गट: 🔍
प्रतिकारात्मक उपाय योजना
शिफारस केली आहे: कोणतेही शमन माहित नाहीस्थान: 🔍
0 दिवसांचा वेळ: 🔍
टाइमलाइन
21/12/2023 🔍21/12/2023 🔍
21/12/2023 🔍
14/01/2024 🔍
स्त्रोत
सल्लागार: github.comस्थान: परिभाषित केलेले नाही
CVE: CVE-2023-7038 (🔍)
GCVE (CVE): GCVE-0-2023-7038
GCVE (VulDB): GCVE-100-248687
scip Labs: https://www.scip.ch/en/?labs.20161013
प्रवेश
तयार केली: 21/12/2023 09:24 AMअद्ययावत: 14/01/2024 09:12 AM
बदल: 21/12/2023 09:24 AM (41), 14/01/2024 09:07 AM (2), 14/01/2024 09:12 AM (28)
संपूर्ण: 🔍
Submitter: Maland
Cache ID: 253:E46:103
प्रस्तुत करा
मान्य केले
- प्रस्तुत करा #249818: Automad CMS <= 1.10.9 Multiple Cross-Site Request Forgery (CSRF) (जवळ Maland)
अद्याप कोणतीही प्रतिक्रिया नाही. भाषा: mr + en.
कृपया टिप्पणी करण्यासाठी लॉग इन करा.