BDU:2019-04685

Опубликовано: 13 нояб. 2019

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Высокий

Описание

Уязвимость веб-интерфейса службы Exhibitor для управления экземплярами сервера ZooKeeper существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды с привилегиями целевого пользователя

Вендор

Exhibitor Project

Наименование ПО

Exhibitor

Версия ПО

от 1.0.9 до 1.7.1 включительно (Exhibitor)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Ограничить использование программно-аппаратного средства

Статус уязвимости

Подтверждена в ходе исследований

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-5029
CVE

EPSS

Процентиль: 99%

0.80351

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2019-5029

CVSS3: 9.8

nvd

около 6 лет назад

An exploitable command injection vulnerability exists in the Config editor of the Exhibitor Web UI versions 1.0.9 to 1.7.1. Arbitrary shell commands surrounded by backticks or $() can be inserted into the editor and will be executed by the Exhibitor process when it launches ZooKeeper. An attacker can execute any command as the user running the Exhibitor process.

GHSA-vq4h-pfrp-qjjj

CVSS3: 9.8

github

больше 3 лет назад

EPSS

Процентиль: 99%

0.80351

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2