| |
Podatność CVE-2019-16305
Publikacja: 2019-09-14
| Opis: |
In MobaXterm 11.1 and 12.1, the protocol handler is vulnerable to command injection. A crafted link can trigger a popup asking whether the user wants to run MobaXterm to handle the link. If accepted, another popup appears asking for further confirmation. If this is also accepted, command execution is achieved, as demonstrated by the MobaXterm://`calc` URI. |
Typ:
CWE-74
CVSS2 => (AV:N/AC:M/Au:N/C:P/I:P/A:P)
| Ogólna skala CVSS |
Znaczenie |
Łatwość wykorzystania |
6.8/10 |
6.4/10 |
8.6/10 |
| Wymagany dostęp |
Złożoność ataku |
Autoryzacja |
Zdalny |
Średnia |
Nie wymagana |
| Wpływ na poufność |
Wpływ na integralność |
Wpływ na dostępność |
Częściowy |
Częściowy |
Częściowy |
Referencje: |
https://freetom.github.io/0day/2019/09/14/MobaXterm-command-exec-in-protocol-handler.html
|
|
|
Copyright 2024, cxsecurity.com
|
|
|
Polish
English