Описание
Уязвимость системы управления базами данных OrientDB связана с недостатками разграничения доступа к некоторым функциям («where», «fetchplan» и «order by»). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды операционной системы с помощью специально созданного запроса
Вендор
OrientDB Ltd
Наименование ПО
OrientDB
Версия ПО
до 2.2.22 включительно (OrientDB)
Тип ПО
СУБД
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/orientechnologies/orientdb/wiki/OrientDB-2.2-Release-Notes#2223---july-11-2017
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 99%
0.80603
Высокий
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
nvd
больше 8 лет назад
OrientDB through 2.2.22 does not enforce privilege requirements during "where" or "fetchplan" or "order by" use, which allows remote attackers to execute arbitrary OS commands via a crafted request.
CVSS3: 9.8
github
больше 7 лет назад
OrientDB vulnerable to Improper Privilage Management leading to arbitrary command injection
EPSS
Процентиль: 99%
0.80603
Высокий
10 Critical
CVSS2