CVE-2017-1000116

Опубликовано: 05 окт. 2017

Источник: nvd

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Mercurial prior to 4.3 did not adequately sanitize hostnames passed to ssh, leading to possible shell-injection attacks.

Ссылки

http://www.debian.org/security/2017/dsa-3963
Third Party Advisory
http://www.securityfocus.com/bid/100290
Third Party Advisory
VDB Entry
https://access.redhat.com/errata/RHSA-2017:2489
Third Party Advisory
https://security.gentoo.org/glsa/201709-18
Patch
Third Party Advisory
VDB Entry
https://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_4.3_.2F_4.3.1_.282017-08-10.29
Release Notes
Vendor Advisory
http://www.debian.org/security/2017/dsa-3963
Third Party Advisory
http://www.securityfocus.com/bid/100290
Third Party Advisory
VDB Entry
https://access.redhat.com/errata/RHSA-2017:2489
Third Party Advisory
https://security.gentoo.org/glsa/201709-18
Patch
Third Party Advisory
VDB Entry
https://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_4.3_.2F_4.3.1_.282017-08-10.29
Release Notes
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:mercurial:mercurial:*:*:*:*:*:*:*:*

Версия до 4.3 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*

cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_aus:7.4:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_aus:7.6:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_eus:7.4:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_eus:7.6:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_tus:7.4:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_server_tus:7.6:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*

EPSS

Процентиль: 85%

0.02397

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-78

Связанные уязвимости

CVE-2017-1000116

CVSS3: 9.8

ubuntu

около 8 лет назад

Mercurial prior to 4.3 did not adequately sanitize hostnames passed to ssh, leading to possible shell-injection attacks.

CVE-2017-1000116

CVSS3: 6.3

redhat

больше 8 лет назад

Mercurial prior to 4.3 did not adequately sanitize hostnames passed to ssh, leading to possible shell-injection attacks.

CVE-2017-1000116

CVSS3: 9.8

debian

около 8 лет назад

Mercurial prior to 4.3 did not adequately sanitize hostnames passed to ...

GHSA-3qmg-c9vc-r47j

CVSS3: 9.8

github

больше 3 лет назад

Mercurial is vulnerable to shell injection attack

BDU:2017-02364

fstec

около 8 лет назад

Уязвимость программного средства управления версиями Mercurial, связанная с отсутствием мер по очистке входных данных, позволяющая нарушителю выполнить произвольные команды операционной системы

EPSS

Процентиль: 85%

0.02397

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-78