Podatność CVE-2018-11345


Publikacja: 2018-05-21   Modyfikacja: 2018-05-22

Opis:
An unrestricted file upload vulnerability in upload.cgi in ASUSTOR AS6202T ADM 3.1.0.RFQ3 allows attackers to upload supplied data via the POST parameter filename. This can be used to place attacker controlled code on the file system that can then be executed. Further, the filename parameter is vulnerable to path traversal and allows the attacker to place the file anywhere on the system.

Typ:

CWE-434

(Unrestricted Upload of File with Dangerous Type)

CVSS2 => (AV:N/AC:L/Au:S/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
6.5/10
6.4/10
8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Asustor -> As6202t firmware 

 Referencje:
http://seclists.org/fulldisclosure/2018/May/2
https://github.com/mefulton/asustorexploit
https://www.purehacking.com/blog/matthew-fulton/back-to-the-future-asustor-web-exploitation

Copyright 2024, cxsecurity.com

 

Back to Top