Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2018-00527

Опубликовано: 28 апр. 2017
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость облачной платформы NextCloud операционной системы OpenSUSE Leap связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить привилегии root при обновлении пакета NextCloud с использованием сценариев, размещенных в директории /srv/www/htdocs и запущенных от имени пользователя wwwrun

Вендор

Novell Inc.

Наименование ПО

OpenSUSE Leap

Версия ПО

42.3 (OpenSUSE Leap)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://lists.opensuse.org/opensuse-updates/2017-10/msg00010.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 43%
0.0021
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2017-9286

CVSS3: 7.8
nvd
почти 8 лет назад

The packaging of NextCloud in openSUSE used /srv/www/htdocs in an unsafe manner, which could have allowed scripts running as wwwrun user to escalate privileges to root during nextcloud package upgrade.

suse-cvrf логотип

openSUSE-SU-2017:2641-1

suse-cvrf
больше 8 лет назад

Security update for nextcloud

github логотип

GHSA-p8ph-fqxj-xw9c

CVSS3: 8.8
github
больше 3 лет назад

The packaging of NextCloud in openSUSE used /srv/www/htdocs in an unsafe manner, which could have allowed scripts running as wwwrun user to escalate privileges to root during nextcloud package upgrade.

EPSS

Процентиль: 43%
0.0021
Низкий

8.8 High

CVSS3

9 Critical

CVSS2