CVE-2020-11977

Опубликовано: 15 сент. 2020

Источник: nvd

CVSS3: 7.2

CVSS2: 8.5

EPSS Низкий

Описание

In Apache Syncope 2.1.X releases prior to 2.1.7, when the Flowable extension is enabled, an administrator with workflow entitlements can use Shell Service Tasks to perform malicious operations, including but not limited to file read, file write, and code execution.

Ссылки

https://syncope.apache.org/security#CVE-2020-11977:_Remote_Code_Execution_via_Flowable_workflow_definition
Vendor Advisory
https://syncope.apache.org/security#CVE-2020-11977:_Remote_Code_Execution_via_Flowable_workflow_definition
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:apache:syncope:*:*:*:*:*:*:*:*

Версия от 2.1.0 (включая) до 2.1.7 (исключая)

EPSS

Процентиль: 69%

0.00589

Низкий

7.2 High

CVSS3

8.5 High

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

GHSA-p2rp-cmjq-r7wm