ChurchCRM जोपर्यंत 5.18.0 Backup Restore RestoreJob.php restoreFile डायरेक्टरी ट्रॅव्हल्सल
| CVSS मेटा टेम्प स्कोअर | सध्याची शोषक किंमत (≈) | सीटीआई इंटरेस्ट स्कोअर |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
सारांश
एक असुरक्षितता जी गंभीर म्हणून वर्गीकृत आहे, ती ChurchCRM जोपर्यंत 5.18.0 मध्ये आढळली आहे. प्रभावित आहे अज्ञात फंक्शन फाइल src/ChurchCRM/Backup/RestoreJob.php च्या घटक Backup Restore Handler च्या. सॉफ्टवेअरमध्ये restoreFile या आर्ग्युमेंटचे केलेले बदल डायरेक्टरी ट्रॅव्हल्सल यास कारणीभूत ठरतात. ही दुर्बलता CVE-2025-11939 म्हणून ओळखली जाते. हल्ला दूरस्थपणे सुरू करणे शक्य आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
तपशील
एक असुरक्षितता जी गंभीर म्हणून वर्गीकृत आहे, ती ChurchCRM जोपर्यंत 5.18.0 मध्ये आढळली आहे. प्रभावित आहे अज्ञात फंक्शन फाइल src/ChurchCRM/Backup/RestoreJob.php च्या घटक Backup Restore Handler च्या. सॉफ्टवेअरमध्ये restoreFile या आर्ग्युमेंटचे केलेले बदल डायरेक्टरी ट्रॅव्हल्सल यास कारणीभूत ठरतात. CWE वापरून समस्या घोषित केल्याने CWE-22 कडे नेले जाते. कमजोरी प्रकाशित करण्यात आली होती. सल्ला डाउनलोडसाठी github.com येथे शेअर केला आहे.
ही दुर्बलता CVE-2025-11939 म्हणून ओळखली जाते. हल्ला दूरस्थपणे सुरू करणे शक्य आहे. तांत्रिक तपशील उपलब्ध आहेत. ही असुरक्षितता सामान्यपेक्षा कमी लोकप्रिय आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे. शोषण सार्वजनिकपणे उघड झाले आहे आणि वापरले जाऊ शकते. सध्याच्या घडीला अंदाजे USD $0-$5k असू शकतो. MITRE ATT&CK प्रकल्पाने हल्ल्याची तंत्रज्ञान T1006 म्हणून घोषित केली आहे.
हे प्रूफ-ऑफ-कॉन्सेप्ट म्हणून घोषित केले आहे. शोषण डाउनलोडसाठी github.com येथे शेअर केले आहे.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
उत्पादन
नाम
आवृत्ती:
परवाना
CPE 2.3
CPE 2.2
CVSSv4
VulDB सदिश: 🔒VulDB विश्वसनीयता:: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA सदिश: 🔒
CVSSv3
VulDB मेटा बेस स्कोअर: 5.5VulDB मेटा टेम्प स्कोअर: 5.4
VulDB बेस स्कोअर: 4.7
VulDB टेम्प स्कोअर: 4.3
VulDB सदिश: 🔒
VulDB विश्वसनीयता:: 🔍
NVD बेस स्कोअर: 7.2
NVD सदिश: 🔒
CNA बेस स्कोअर: 4.7
CNA सदिश: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | संमिश्रता | प्रमाणीकरण | गोपनीयता[संपादन]। | सचोटी | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
VulDB बेस स्कोअर: 🔒
VulDB टेम्प स्कोअर: 🔒
VulDB विश्वसनीयता:: 🔍
शोषण करणे:
वर्ग: डायरेक्टरी ट्रॅव्हल्सलCWE: CWE-22
CAPEC: 🔒
ATT&CK: 🔒
शारीरिक: नाही
स्थानिक: नाही
रिमोट: हो
उपलब्धता: 🔒
प्रवेश करा: सार्वजनिक
स्थान: प्रूफ-ऑफ-कॉन्सेप्ट
डाउनलोड करा: 🔒
Google Hack: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
किंमत ीचा अंदाज: 🔍
सध्याच्या किमतीचा अंदाज: 🔒
| 0-Day | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
|---|---|---|---|---|
| आज | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
थ्रेट इंटेलिजन्स
व्याज: 🔍सक्रिय अभिनेते: 🔍
सक्रिय एपीटी गट: 🔍
प्रतिकारात्मक उपाय योजना
शिफारस केली आहे: कोणतेही शमन माहित नाहीस्थान: 🔍
0 दिवसांचा वेळ: 🔒
टाइमलाइन
18/10/2025 सल्लागाराने खुलासा केला18/10/2025 VulDB Entry निर्माण
27/10/2025 VulDB Entry शेवटचे अपडेट
स्त्रोत
सल्लागार: github.comस्थान: परिभाषित केलेले नाही
CVE: CVE-2025-11939 (🔒)
GCVE (CVE): GCVE-0-2025-11939
GCVE (VulDB): GCVE-100-329015
EUVD: 🔒
CNNVD: CNNVD-202510-2553 - ChurchCRM 路径遍历漏洞
scip Labs: https://www.scip.ch/en/?labs.20161013
प्रवेश
तयार केली: 18/10/2025 02:59 PMअद्ययावत: 27/10/2025 04:12 PM
बदल: 18/10/2025 02:59 PM (56), 19/10/2025 12:42 PM (30), 19/10/2025 12:49 PM (1), 20/10/2025 08:42 PM (6), 27/10/2025 04:12 PM (11)
संपूर्ण: 🔍
Submitter: uartu0
Cache ID: 253:7CB:103
प्रस्तुत करा
मान्य केले
- प्रस्तुत करा #671101: ChurchCRM <= 5.18.0 Path Traversal (जवळ uartu0)
अद्याप कोणतीही प्रतिक्रिया नाही. भाषा: mr + en.
कृपया टिप्पणी करण्यासाठी लॉग इन करा.