Insightappsec
Уязвимости
4
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.01208
Распределение по критичности
Критический
0
Высокий
4
Средний
0
Низкий
0
Затронутые диапазоны версий
< 23.2.1≤ 2019.06.24
Также сопоставлено как (исходные строки): insightcloudsec,insightappsec
Топ уязвимостей
CVE-2023-1306Аутентифицированный злоумышленник может использовать открытый метод доступа resource.db() для контрабанды вызовов методов Python через шаблон Jinja, что может привести к выполнению кода. Эта проблема была решена в управляемых и SaaS-развертываниях 1 февраля 2023 г. и в версии 23.2.1 самоуправляемой версии InsightCloudSec.
CVE-2023-1304Аутентифицированный злоумышленник может использовать открытый метод getattr() через шаблон Jinja для контрабанды команд ОС и выполнения других действий, которые обычно должны быть закрытыми методами. Эта проблема была решена в управляемых и SaaS-развертываниях 1 февраля 2023 г. и в версии 23.2.1 самоуправляемой версии InsightCloudSec.
CVE-2023-1305Аутентифицированный злоумышленник может использовать открытый объект "box" для чтения и записи произвольных файлов с диска, при условии, что эти файлы могут быть проанализированы как yaml или JSON. Эта проблема была решена в управляемых и SaaS-развертываниях 1 февраля 2023 г. и в версии 23.2.1 самоуправляемой версии InsightCloudSec.
CVE-2019-5631Брокер Rapid7 InsightAppSec страдает от уязвимости внедрения DLL в компоненте продукта «prunsrv.exe». В случае эксплуатации локальный пользователь системы (который уже должен быть аутентифицирован в операционной системе) может повысить свои привилегии с помощью этой уязвимости до уровня привилегий InsightAppSec (обычно SYSTEM). Эта проблема затрагивает версию 2019.06.24 и более ранние версии продукта.