CVE-2017-11467

Опубликовано: 20 июл. 2017

Источник: nvd

CVSS3: 9.8

CVSS2: 10

EPSS Высокий

Описание

OrientDB through 2.2.22 does not enforce privilege requirements during "where" or "fetchplan" or "order by" use, which allows remote attackers to execute arbitrary OS commands via a crafted request.

Ссылки

http://www.heavensec.org/?p=1703
Exploit
Third Party Advisory
URL Repurposed
https://github.com/orientechnologies/orientdb/wiki/OrientDB-2.2-Release-Notes#2223---july-11-2017
Third Party Advisory
http://www.heavensec.org/?p=1703
Exploit
Third Party Advisory
URL Repurposed
https://github.com/orientechnologies/orientdb/wiki/OrientDB-2.2-Release-Notes#2223---july-11-2017
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:orientdb:orientdb:*:*:*:*:*:*:*:*

Версия до 2.2.22 (включая)

EPSS

Процентиль: 99%

0.80603

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-269

Связанные уязвимости

GHSA-xm6r-4466-mr74

CVSS3: 9.8

github

больше 7 лет назад

OrientDB vulnerable to Improper Privilage Management leading to arbitrary command injection

BDU:2017-02109

fstec

больше 8 лет назад

Уязвимость системы управления базами данных OrientDB, связанная с недостатками разграничения доступа, позволяющая нарушителю выполнить произвольные команды