📚 MODX Revolution bis 2.5.2 /connectors/index.php dir Directory Traversal
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine Schwachstelle in MODX Revolution bis 2.5.2 ausgemacht. Sie wurde als problematisch eingestuft. Betroffen hiervon ist eine unbekannte Funktion der Datei /connectors/index.php. Durch Manipulation des Arguments dir
mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle (Local) ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit und Integrität.
Die Schwachstelle wurde am 24.12.2016 publiziert. Die Identifikation der Schwachstelle wird mit CVE-2016-10037 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Ein Aktualisieren auf die Version 2.5.2-pl vermag dieses Problem zu lösen.
Von weiterem Interesse können die folgenden Einträge sein: 94660 und 94661.
CVSSv3
Base Score: ≈5.4 [?]Temp Score: ≈5.2 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: ≈4.9 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:N) [?]Temp Score: ≈4.3 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Directory TraversalLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Revolution 2.5.2-pl
Timeline
24.12.2016 Advisory veröffentlicht24.12.2016 VulDB Eintrag erstellt
24.12.2016 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-10037 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 94660, 94661
Eintrag
Erstellt: 24.12.2016Eintrag: 69.6% komplett
...