Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04785

Опубликовано: 16 янв. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Высокий

Описание

Уязвимость утилиты phar CMS-системы Drupal связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного файла с расширением .phar

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Debian GNU/Linux
Drupal

Версия ПО

9 (Debian GNU/Linux)
8.0 (Debian GNU/Linux)
от 7.0 до 7.62 (Drupal)
от 8.5.0 до 8.5.9 (Drupal)
от 8.5.9 до 8.6.6 (Drupal)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Drupal:
https://www.drupal.org/sa-core-2019-002
Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4370
https://lists.debian.org/debian-lts-announce/2019/02/msg00004.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.77252
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-6339

CVSS3: 9.8
ubuntu
больше 6 лет назад

In Drupal Core versions 7.x prior to 7.62, 8.6.x prior to 8.6.6 and 8.5.x prior to 8.5.9; A remote code execution vulnerability exists in PHP's built-in phar stream wrapper when performing file operations on an untrusted phar:// URI. Some Drupal code (core, contrib, and custom) may be performing file operations on insufficiently validated user input, thereby being exposed to this vulnerability. This vulnerability is mitigated by the fact that such code paths typically require access to an administrative permission or an atypical configuration.

nvd логотип

CVE-2019-6339

CVSS3: 9.8
nvd
больше 6 лет назад

In Drupal Core versions 7.x prior to 7.62, 8.6.x prior to 8.6.6 and 8.5.x prior to 8.5.9; A remote code execution vulnerability exists in PHP's built-in phar stream wrapper when performing file operations on an untrusted phar:// URI. Some Drupal code (core, contrib, and custom) may be performing file operations on insufficiently validated user input, thereby being exposed to this vulnerability. This vulnerability is mitigated by the fact that such code paths typically require access to an administrative permission or an atypical configuration.

debian логотип

CVE-2019-6339

CVSS3: 9.8
debian
больше 6 лет назад

In Drupal Core versions 7.x prior to 7.62, 8.6.x prior to 8.6.6 and 8. ...

github логотип

GHSA-8cw5-rv98-5c46

CVSS3: 9.8
github
больше 3 лет назад

Arbitrary PHP code execution in Drupal

EPSS

Процентиль: 99%
0.77252
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2