BDU:2018-00352

Опубликовано: 16 окт. 2017

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Средний

Описание

Уязвимость функций uploadTelemetry и getLogs (/usr/lib/django_host/seagate_media_server/views.py) компонента Media Server микропрограммного обеспечения сетевого хранилища Seagate Personal Cloud связана с неприятием мер по нейтрализации специальных элементов, используемых в команде. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды с привилегиями root

Вендор

Seagate Technology LLC

Наименование ПО

Personal Cloud

Версия ПО

- (Personal Cloud)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Ограничение доступа к устройству до выпуска обновления микропрограммного обеспечения, устраняющего уязвимость

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5347
CVE
http://www.exploit-db.com/exploits/43659/
Exploit Database

EPSS

Процентиль: 98%

0.47022

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2018-5347

CVSS3: 9.8

nvd

около 8 лет назад

Seagate Media Server in Seagate Personal Cloud has unauthenticated command injection in the uploadTelemetry and getLogs functions in views.py because .psp URLs are handled by the fastcgi.server component and shell metacharacters are mishandled.

GHSA-vx2p-j4w8-wfw2

CVSS3: 9.8

github

больше 3 лет назад

EPSS

Процентиль: 98%

0.47022

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2