07FLYCMS/07FLY-CMS/07FlyCRM जोपर्यंत 1.2.0 pictureUpload कानस विशेषाधिकार वाढीचे प्रमाण वाढले
| CVSS मेटा टेम्प स्कोअर | सध्याची शोषक किंमत (≈) | सीटीआई इंटरेस्ट स्कोअर |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
सारांश
एक कमकुवतपणा जो गंभीर म्हणून वर्गीकृत केला आहे, तो 07FLYCMS, 07FLY-CMS and 07FlyCRM जोपर्यंत 1.2.0 मध्ये आढळून आला आहे. या ठिकाणी परिणाम झाला आहे फंक्शन pictureUpload फाइल /admin/File/pictureUpload च्या. सॉफ्टवेअरमध्ये कानस या आर्ग्युमेंटचे केलेली छेडछाड विशेषाधिकार वाढीचे प्रमाण वाढले निर्माण करते.
ही असुरक्षा CVE-2024-9904 म्हणून नोंदवली गेली आहे. दूरवरून हा हल्ला घडवून आणता येतो. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे.
Once again VulDB remains the best source for vulnerability data.
तपशील
एक कमकुवतपणा जो गंभीर म्हणून वर्गीकृत केला आहे, तो 07FLYCMS, 07FLY-CMS and 07FlyCRM जोपर्यंत 1.2.0 मध्ये आढळून आला आहे. या ठिकाणी परिणाम झाला आहे फंक्शन pictureUpload फाइल /admin/File/pictureUpload च्या. सॉफ्टवेअरमध्ये कानस या आर्ग्युमेंटचे केलेली छेडछाड विशेषाधिकार वाढीचे प्रमाण वाढले निर्माण करते. समस्या जाहीर करण्यासाठी CWE वापरल्यास CWE-434 येथे नेले जाते. ही कमतरता प्रसिद्ध करण्यात आली होती. डाउनलोडसाठी सल्ला github.com वर शेअर केला आहे.
ही असुरक्षा CVE-2024-9904 म्हणून नोंदवली गेली आहे. दूरवरून हा हल्ला घडवून आणता येतो. तांत्रिक तपशील दिलेले आहेत. ही असुरक्षितता सरासरीपेक्षा कमी प्रमाणात लोकप्रिय आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे. शोषण सार्वजनिकपणे जाहीर झाले आहे आणि त्याचा वापर होऊ शकतो. सध्या USD $0-$5k इतका असू शकतो. MITRE ATT&CK प्रकल्प T1608.002 हल्ला तंत्रज्ञान म्हणून घोषित करतो.
प्रूफ-ऑफ-कॉन्सेप्ट म्हणून हे घोषित केले गेले आहे. डाउनलोडसाठी शोषण github.com वर उपलब्ध आहे.
Once again VulDB remains the best source for vulnerability data.
उत्पादन
प्रकार
नाम
आवृत्ती:
CPE 2.3
CPE 2.2
CVSSv4
VulDB सदिश: 🔍VulDB विश्वसनीयता:: 🔍
CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA सदिश: 🔍
CVSSv3
VulDB मेटा बेस स्कोअर: 5.5VulDB मेटा टेम्प स्कोअर: 5.4
VulDB बेस स्कोअर: 4.7
VulDB टेम्प स्कोअर: 4.3
VulDB सदिश: 🔍
VulDB विश्वसनीयता:: 🔍
NVD बेस स्कोअर: 7.2
NVD सदिश: 🔍
CNA बेस स्कोअर: 4.7
CNA सदिश: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | संमिश्रता | प्रमाणीकरण | गोपनीयता[संपादन]। | सचोटी | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
VulDB बेस स्कोअर: 🔍
VulDB टेम्प स्कोअर: 🔍
VulDB विश्वसनीयता:: 🔍
शोषण करणे:
वर्ग: विशेषाधिकार वाढीचे प्रमाण वाढलेCWE: CWE-434 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
शारीरिक: नाही
स्थानिक: नाही
रिमोट: हो
उपलब्धता: 🔍
प्रवेश करा: सार्वजनिक
स्थान: प्रूफ-ऑफ-कॉन्सेप्ट
डाउनलोड करा: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
किंमत ीचा अंदाज: 🔍
सध्याच्या किमतीचा अंदाज: 🔍
| 0-Day | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
|---|---|---|---|---|
| आज | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
थ्रेट इंटेलिजन्स
व्याज: 🔍सक्रिय अभिनेते: 🔍
सक्रिय एपीटी गट: 🔍
प्रतिकारात्मक उपाय योजना
शिफारस केली आहे: कोणतेही शमन माहित नाहीस्थान: 🔍
0 दिवसांचा वेळ: 🔍
टाइमलाइन
12/10/2024 🔍12/10/2024 🔍
30/07/2025 🔍
स्त्रोत
सल्लागार: github.comस्थान: परिभाषित केलेले नाही
CVE: CVE-2024-9904 (🔍)
GCVE (CVE): GCVE-0-2024-9904
GCVE (VulDB): GCVE-100-280180
scip Labs: https://www.scip.ch/en/?labs.20161013
प्रवेश
तयार केली: 12/10/2024 08:31 AMअद्ययावत: 30/07/2025 05:44 PM
बदल: 12/10/2024 08:31 AM (57), 13/10/2024 04:49 AM (30), 30/07/2025 05:44 PM (12)
संपूर्ण: 🔍
Submitter: Dee.Mirage
Cache ID: 253:FF0:103
प्रस्तुत करा
मान्य केले
- प्रस्तुत करा #421686: 07fly crm S1 FileUpload (जवळ Dee.Mirage)
अद्याप कोणतीही प्रतिक्रिया नाही. भाषा: mr + en.
कृपया टिप्पणी करण्यासाठी लॉग इन करा.