| |
Podatność CVE-2018-1321
Publikacja: 2018-03-20
| Opis: |
An administrator with report and template entitlements in Apache Syncope 1.2.x before 1.2.11, 2.0.x before 2.0.8, and unsupported releases 1.0.x and 1.1.x which may be also affected, can use XSL Transformations (XSLT) to perform malicious operations, including but not limited to file read, file write, and code execution. |
Typ:
CWE-20 (Improper Input Validation)
CVSS2 => (AV:N/AC:L/Au:S/C:P/I:P/A:P)
| Ogólna skala CVSS |
Znaczenie |
Łatwość wykorzystania |
6.5/10 |
6.4/10 |
8/10 |
| Wymagany dostęp |
Złożoność ataku |
Autoryzacja |
Zdalny |
Niska |
Jednorazowa |
| Wpływ na poufność |
Wpływ na integralność |
Wpływ na dostępność |
Częściowy |
Częściowy |
Częściowy |
Referencje: |
http://syncope.apache.org/security.html#CVE-2018-1321:_Remote_code_execution_by_administrators_with_report_and_template_entitlements
http://www.securityfocus.com/bid/103508
https://www.exploit-db.com/exploits/45400/
|
|
|
Copyright 2024, cxsecurity.com
|
|
|
Polish
English