Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2018-00914

Опубликовано: 01 июн. 2018
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость веб-сканера Nikto связана с отсутствием нейтрализации специальных элементов во входных данных команд ОС при генерации CSV-файла с результатами сканирования. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально подготовленного http-сервера

Вендор

Chris Sullo, David Lodge

Наименование ПО

Nikto

Версия ПО

до 2.1.6 включительно (Nikto)

Тип ПО

Программное средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/sullo/nikto/commit/e759b3300aace5314fe3d30800c8bd83c81c29f7

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.21655
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-11652

CVSS3: 9.8
ubuntu
больше 7 лет назад

CSV Injection vulnerability in Nikto 2.1.6 and earlier allows remote attackers to inject arbitrary OS commands via the Server field in an HTTP response header, which is directly injected into a CSV report.

nvd логотип

CVE-2018-11652

CVSS3: 9.8
nvd
больше 7 лет назад

CSV Injection vulnerability in Nikto 2.1.6 and earlier allows remote attackers to inject arbitrary OS commands via the Server field in an HTTP response header, which is directly injected into a CSV report.

debian логотип

CVE-2018-11652

CVSS3: 9.8
debian
больше 7 лет назад

CSV Injection vulnerability in Nikto 2.1.6 and earlier allows remote a ...

github логотип

GHSA-pmf5-gx6h-8x53

CVSS3: 9.8
github
больше 3 лет назад

CSV Injection vulnerability in Nikto 2.1.6 and earlier allows remote attackers to inject arbitrary OS commands via the Server field in an HTTP response header, which is directly injected into a CSV report.

EPSS

Процентиль: 96%
0.21655
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2