CVE-2017-12478

Опубликовано: 07 авг. 2017

Источник: nvd

CVSS3: 9.8

CVSS2: 10

EPSS Высокий

Описание

It was discovered that the api/storage web interface in Unitrends Backup (UB) before 10.0.0 has an issue in which one of its input parameters was not validated. A remote attacker could use this flaw to bypass authentication and execute arbitrary commands with root privilege on the target system.

Ссылки

https://support.unitrends.com/UnitrendsBackup/s/article/000005756
Vendor Advisory
https://www.exploit-db.com/exploits/43030/
Exploit
Third Party Advisory
VDB Entry
https://www.exploit-db.com/exploits/45559/
Exploit
Third Party Advisory
VDB Entry
https://support.unitrends.com/UnitrendsBackup/s/article/000005756
Vendor Advisory
https://www.exploit-db.com/exploits/43030/
Exploit
Third Party Advisory
VDB Entry
https://www.exploit-db.com/exploits/45559/
Exploit
Third Party Advisory
VDB Entry

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:kaseya:unitrends_backup:*:*:*:*:*:*:*:*

Версия до 10.0 (исключая)

EPSS

Процентиль: 99%

0.81581

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-287

Связанные уязвимости

GHSA-7q5j-8w8v-g89m

CVSS3: 9.8

github

больше 3 лет назад

BDU:2017-02122

fstec

больше 8 лет назад

Уязвимость веб-интерфейса api/storage средства резервного копирования Unitrends Backup, позволяющая нарушителю обойти процедуру аутентификации или выполнить произвольные команды с root-правами