1. Reverse Engineering >
  2. Exploits >
  3. Swagger-Parser's bis 1.0.30 YAML Parser erweiterte Rechte


ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese

Swagger-Parser's bis 1.0.30 YAML Parser erweiterte Rechte

RSS Kategorie Pfeil Exploits vom | Quelle: vuldb.com Direktlink öffnen

Eine Schwachstelle wurde in Swagger-Parser's bis 1.0.30 gefunden. Sie wurde als kritisch eingestuft. Es geht hierbei um eine unbekannte Funktion der Komponente YAML Parser. Dank Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-269. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 17.11.2017 (GitHub Repository) veröffentlicht. Auf github.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 16.11.2017 als CVE-2017-1000208 statt. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 11/18/2017).

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

CVSSv3

VulDB Base Score: ≈5.5
VulDB Temp Score: ≈5.1
VulDB Vector: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:X/RC:U
VulDB Zuverlässigkeit: Low

CVSSv2

VulDB Base Score: ≈4.1 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P)
VulDB Temp Score: ≈3.7 (CVSS2#E:ND/RL:ND/RC:UC)
VulDB Zuverlässigkeit: Low

CPE

Exploiting

Klasse: Erweiterte Rechte (CWE-269)
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden

Timeline

16.11.2017 CVE zugewiesen
17.11.2017 Advisory veröffentlicht
18.11.2017 VulDB Eintrag erstellt
18.11.2017 VulDB letzte Aktualisierung

Quellen

Advisory: github.com
Status: Unbestätigt

CVE: CVE-2017-1000208 (mitre.org) (nvd.nist.org) (cvedetails.com)

Eintrag

Erstellt: 18.11.2017
Eintrag: 67.2% komplett
...

Webseite öffnen Komplette Webseite öffnen

Newsbewertung

Kommentiere zu Swagger-Parser's bis 1.0.30 YAML Parser erweiterte Rechte






Ähnliche Beiträge

  • 1. Swagger-Parser's bis 1.0.30 YAML Parser erweiterte Rechte vom 1758.3 Punkte ic_school_black_18dp
    Eine Schwachstelle wurde in Swagger-Parser's bis 1.0.30 gefunden. Sie wurde als kritisch eingestuft. Es geht hierbei um eine unbekannte Funktion der Komponente YAML Parser. Dank Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwa
  • 2. Swagger Parser/Codegen YAML Parser erweiterte Rechte [CVE-2017-1000207] vom 180.93 Punkte ic_school_black_18dp
    Es wurde eine Schwachstelle in Swagger Parser sowie Codegen - die betroffene Version ist nicht klar definiert - ausgemacht. Sie wurde als kritisch eingestuft. Es betrifft eine unbekannte Funktion der Komponente YAML Parser. Mittels Manipulieren mit einer un
  • 3. Top Stories from the Microsoft DevOps Community – 2019.08.02 vom 120.24 Punkte ic_school_black_18dp
    If software is eating the world, YAML is eating CI/CD pipelines, and for a good reason! Who doesn’t want the ability to version their pipeline, keep it in source control and easily reuse it for similar applications? In this week’s community posts, we
  • 4. Help needed with running Python script that uses Selenium vom 118.57 Punkte ic_school_black_18dp
    Hey all, I'm trying to use a tool that I successfully used on Ubuntu now that I've swapped that out for Parrot. I ended up jumping over to Parrot for all of the included security tools but it's shot me in the foot and I'm hoping you can help. I'm pre
  • 5. yaml-cpp bis 0.5.3 scanner.cpp Scanner::peek Denial of Service vom 111.3 Punkte ic_school_black_18dp
    Eine Schwachstelle wurde in yaml-cpp bis 0.5.3 ausgemacht. Sie wurde als problematisch eingestuft. Betroffen davon ist die Funktion Scanner::peek der Datei scanner.cpp. Dank Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwach
  • 6. Top Stories from the Microsoft DevOps Community – 2019.08.16 vom 98.38 Punkte ic_school_black_18dp
    DevOps is making strides into the data realm. Whether we call it DataOps, MLOps, or simply CI/CD for Data, it is becoming easier to automate schema updates and data transformation processes. This week the community shared some excellent articles on the
  • 7. UEFI Firmware Parser - Parse BIOS/Intel ME/UEFI Firmware Related Structures: Volumes, FileSystems, Files, Etc vom 92.22 Punkte ic_school_black_18dp
    The UEFI firmware parser is a simple module and set of scripts for parsing, extracting, and recreating UEFI firmware volumes. This includes parsing modules for BIOS, OptionROM, Intel ME and other formats too. Please use the example scripts for parsing
  • 8. UEFI Firmware Parser - Parse BIOS/Intel ME/UEFI Firmware Related Structures: Volumes, FileSystems, Files, Etc vom 92.22 Punkte ic_school_black_18dp
    The UEFI firmware parser is a simple module and set of scripts for parsing, extracting, and recreating UEFI firmware volumes. This includes parsing modules for BIOS, OptionROM, Intel ME and other formats too. Please use the example scripts for parsing
  • 9. Router Exploit Shovel - Automated Application Generation For Stack Overflow Types On Wireless Routers vom 83.1 Punkte ic_school_black_18dp
    Automated Application Generation for Stack Overflow Types on Wireless RoutersRouter exploits shovel is an automated application generation tool for stack overflow types on wireless routers. The tool implements the key functions of exploits, it can adapt to the length of
  • 10. The Evolving Infrastructure of .NET Core vom 76.52 Punkte ic_school_black_18dp
    With .NET Core 3.0 Preview 6 out the door, we thought it would be useful to take a brief look at the history of our infrastructure systems and the significant improvements that have been made in the last year or so. This post will be interesting if you
  • 11. How to Upgrade to Typescript Without Anybody Noticing, Part 1 vom 72.46 Punkte ic_school_black_18dp
    This guide will show you how to upgrade to TypeScript without anybody noticing. Well, people might notice — what I really mean is that you won’t have to change your build at all. You’ll have the ability to get errors and completions in supported editors and to get errors on the command line from ts
  • 12. Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-003 vom 70.07 Punkte ic_school_black_18dp
    Drupal 8.3.4 and Drupal 7.56 are maintenance releases which contain fixes for security vulnerabilities. Download Drupal 8.3.4 Download Drupal 7.56 Updating your existing Drupal 8 and 7 sites is strongly recommended (see instructions for Drupal 8 and for Dr