CVE-2018-5347

Опубликовано: 12 янв. 2018

Источник: nvd

CVSS3: 9.8

CVSS2: 10

EPSS Средний

Описание

Seagate Media Server in Seagate Personal Cloud has unauthenticated command injection in the uploadTelemetry and getLogs functions in views.py because .psp URLs are handled by the fastcgi.server component and shell metacharacters are mishandled.

Ссылки

https://blogs.securiteam.com/index.php/archives/3548
Exploit
Third Party Advisory
https://www.exploit-db.com/exploits/43659/
Exploit
Third Party Advisory
VDB Entry
https://blogs.securiteam.com/index.php/archives/3548
Exploit
Third Party Advisory
https://www.exploit-db.com/exploits/43659/
Exploit
Third Party Advisory
VDB Entry

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:seagate:personal_cloud_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:seagate:personal_cloud:-:*:*:*:*:*:*:*

EPSS

Процентиль: 98%

0.47022

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-78

Связанные уязвимости

GHSA-vx2p-j4w8-wfw2

CVSS3: 9.8

github

больше 3 лет назад

BDU:2018-00352

CVSS3: 9.8

fstec

больше 8 лет назад

Уязвимость функций uploadTelemetry и getLogs компонента Media Server микропрограммного обеспечения сетевого хранилища Seagate Personal Cloud, позволяющая нарушителю выполнять произвольные команды

EPSS

Процентиль: 98%

0.47022

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-78