Podatność CVE-2018-5782


Publikacja: 2018-03-14

Opis:
A vulnerability in the conferencing component of Mitel Connect ONSITE, versions R1711-PREM and earlier, and Mitel ST 14.2, release GA28 and earlier, could allow an unauthenticated attacker to inject PHP code using specially crafted requests to the vsethost.php page. Successful exploit could allow an attacker to execute arbitrary PHP code within the context of the application.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Med.
ShoreTel / Mitel Connect ONSITE ST14.2 Remote Code Execution
twosevenzero
17.01.2019

Typ:

CWE-94

(Improper Control of Generation of Code ('Code Injection'))

CVSS2 => (AV:N/AC:L/Au:N/C:C/I:C/A:C)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
10/10
10/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Pełny
Pełny
Pełny
Affected software
Mitel -> Connect onsite 
Mitel -> St14.2 

 Referencje:
https://github.com/twosevenzero/shoretel-mitel-rce
https://www.exploit-db.com/exploits/46174/
https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-18-0004

Copyright 2024, cxsecurity.com

 

Back to Top