Уязвимость в MySQL Installer от Oracle MySQL, позволяющая скомпрометировать MySQL Installer и оказать значительное влияние на иные продукты
Описание
Уязвимость в продукте MySQL Installer от Oracle MySQL касается компонента Installer: General. Данная легкодоступная уязвимость позволяет злоумышленнику с низким уровнем привилегий, имеющему вход в инфраструктуру, где выполняется MySQL Installer, скомпрометировать MySQL Installer. Для успешной атаки требуется взаимодействие пользователя, отличного от злоумышленника. Хотя уязвимость находится в MySQL Installer, атаки могут значительно влиять на другие продукты (изменение масштаба). Успешные атаки этой уязвимости могут привести к несанкционированному созданию, удалению или изменению доступа к критическим данным или всем данным, доступным для MySQL Installer, а также к несанкционированной возможности вызвать зависание или частое аварийное завершение работы (полная DoS атака) MySQL Installer.
Затронутые версии ПО
- версии до 1.6.8
Примечание: Этот патч используется в составе MySQL Server версий 8.0.35 и 5.7.44.
Тип уязвимости
- Изменение критических данных
- DoS атака
Оценка CVSS
- CVSS 3.1 базовая оценка: 7.9 (Влияние на целостность и доступность)
- Вектор CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H)
Ссылки
- PatchVendor Advisory
- PatchVendor Advisory
Уязвимые конфигурации
EPSS
7.9 High
CVSS3
Дефекты
Связанные уязвимости
Vulnerability in the MySQL Installer product of Oracle MySQL (component: Installer: General). Supported versions that are affected are Prior to 1.6.8. Easily exploitable vulnerability allows low privileged attacker with logon to the infrastructure where MySQL Installer executes to compromise MySQL Installer. Successful attacks require human interaction from a person other than the attacker and while the vulnerability is in MySQL Installer, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all MySQL Installer accessible data and unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of MySQL Installer. Note: This patch is used in MySQL Server bundled version 8.0.35 and 5.7.44. CVSS 3.1 Base Score 7.9 (Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H).
Vulnerability in the MySQL Installer product of Oracle MySQL (component: Installer: General). Supported versions that are affected are Prior to 1.6.8. Easily exploitable vulnerability allows low privileged attacker with logon to the infrastructure where MySQL Installer executes to compromise MySQL Installer. Successful attacks require human interaction from a person other than the attacker and while the vulnerability is in MySQL Installer, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all MySQL Installer accessible data and unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of MySQL Installer. Note: This patch is used in MySQL Server bundled version 8.0.35 and 5.7.44. CVSS 3.1 Base Score 7.9 (Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H).
Уязвимость компонента Installer: General установщика MySQL Installer, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных и вызвать отказ в обслуживании
EPSS
7.9 High
CVSS3