Podatność CVE-2010-3692


Publikacja: 2010-10-07   Modyfikacja: 2012-02-13

Opis:
Directory traversal vulnerability in the callback function in client.php in phpCAS before 1.1.3, when proxy mode is enabled, allows remote attackers to create or overwrite arbitrary files via directory traversal sequences in a Proxy Granting Ticket IOU (PGTiou) parameter.

Typ:

CWE-22

(Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal'))

CVSS2 => (AV:N/AC:L/Au:N/C:N/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
6.4/10
4.9/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Częściowy
Affected software
Jasig -> Phpcas 

 Referencje:
https://issues.jasig.org/browse/PHPCAS-80
https://forge.indepnet.net/projects/glpi/repository/revisions/12601
https://developer.jasig.org/source/changelog/jasigsvn?cs=21538
http://www.vupen.com/english/advisories/2011/0456
http://www.vupen.com/english/advisories/2010/2909
http://www.vupen.com/english/advisories/2010/2705
http://www.securityfocus.com/bid/43585
http://www.openwall.com/lists/oss-security/2010/10/01/5
http://www.openwall.com/lists/oss-security/2010/10/01/2
http://www.openwall.com/lists/oss-security/2010/09/29/6
http://www.debian.org/security/2011/dsa-2172
http://secunia.com/advisories/43427
http://secunia.com/advisories/42184
http://secunia.com/advisories/42149
http://secunia.com/advisories/41878
http://lists.fedoraproject.org/pipermail/package-announce/2010-October/049602.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-October/049600.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050428.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050415.html
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=495542#82

Copyright 2024, cxsecurity.com

 

Back to Top