Podatność CVE-2017-16921
Publikacja: 2017-12-08

Opis:
In OTRS 6.0.x up to and including 6.0.1, OTRS 5.0.x up to and including 5.0.24, and OTRS 4.0.x up to and including 4.0.26, an attacker who is logged into OTRS as an agent can manipulate form parameters (related to PGP) and execute arbitrary shell commands with the permissions of the OTRS or web server user.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Med.
OTRS 5.0.x/6.0.x Remote Command Execution
Bæln0rn
22.01.2018
High
OTRS 6.0.1 Remote Command Execution
Hex_26
22.04.2021

Typ:

CWE-78

 (Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') )

CVSS2 => (AV:N/AC:L/Au:S/C:C/I:C/A:C)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
9/10
10/10
8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Pełny
Pełny
Pełny
Affected software
OTRS -> OTRS 
Debian -> Debian linux 

 Referencje:
https://lists.debian.org/debian-lts-announce/2017/12/msg00015.html
https://www.debian.org/security/2017/dsa-4066
https://www.exploit-db.com/exploits/43853/
https://www.otrs.com/security-advisory-2017-09-security-update-otrs-framework/
Copyright 2024, cxsecurity.com

 

Back to Top