Podatność CVE-2018-5347


Publikacja: 2018-01-11   Modyfikacja: 2018-01-12

Opis:
Seagate Media Server in Seagate Personal Cloud has unauthenticated command injection in the uploadTelemetry and getLogs functions in views.py because .psp URLs are handled by the fastcgi.server component and shell metacharacters are mishandled.

Typ:

CWE-78

(Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') )

CVSS2 => (AV:N/AC:L/Au:N/C:C/I:C/A:C)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
10/10
10/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Pełny
Pełny
Pełny
Affected software
Seagate -> Personal cloud firmware 

 Referencje:
https://blogs.securiteam.com/index.php/archives/3548
https://www.exploit-db.com/exploits/43659/

Copyright 2024, cxsecurity.com

 

Back to Top