Podatność CVE-2017-5630


Publikacja: 2017-02-01   Modyfikacja: 2017-02-02

Opis:
PECL in the download utility class in the Installer in PEAR Base System v1.10.1 does not validate file types and filenames after a redirect, which allows remote HTTP servers to overwrite files via crafted responses, as demonstrated by a .htaccess overwrite.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
High
PEAR Base System v1.10.1 Arbitrary File Download
hyp3rlinx
30.01.2017

Typ:

CWE-74

CVSS2 => (AV:N/AC:L/Au:N/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
5/10
2.9/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
PEAR -> PEAR 

 Referencje:
http://pear.php.net/bugs/bug.php?id=21171
http://www.securityfocus.com/bid/95882
https://www.exploit-db.com/exploits/41185/

Copyright 2024, cxsecurity.com

 

Back to Top