CVE-2015-1397
Оценки
EPSS
Процентиль: 77.8%
CVSS
Оценка CVSS: 6.5/10
Все оценки CVSS
Вектор: AV:N/AC:L/Au:S/C:P/I:P/A:P
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Аутентификация
Single
Описывает уровень привилегий, которыми должен обладать атакующий
Воздействие на конфиденциальность
Partial
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Partial
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Partial
Измеряет воздействие на доступность затронутого компонента
Описание
SQL-инъекция в функции getCsvFile класса Mage_Adminhtml_Block_Widget_Grid в Magento Community Edition (CE) 1.9.1.0 и Enterprise Edition (EE) 1.14.1.0 позволяет удаленным администраторам выполнять произвольные SQL-команды через параметр popularity[field_expr], когда установлен параметр popularity[from] или popularity[to].
Сканер-ВС 7 — современное решение для управления уязвимостями
Источники
CWE
Эксплойты
ID эксплойта: CVE-2015-1397
Источник: github-poc
URL: https://github.com/0xDTC/Magento-eCommerce-RCE-CVE-2015-1397
Уязвимое ПО (1)
Тип: Конфигурация
Поставщик: magento
Продукт: magento
Операционная система: * * *
{ "cpe_match": [ { "cpe23uri": "cpe:2.3:a:magento:magento:1.9.1.0:*:*:*:community:*:*:*", "vulnerable": true }, { "cpe23uri": "cpe:2.3:a:magento:magento:1.14.1.0:*:*:*:...
{ "cpe_match": [ { "cpe23uri": "cpe:2.3:a:magento:magento:1.9.1.0:*:*:*:community:*:*:*", "vulnerable": true }, { "cpe23uri": "cpe:2.3:a:magento:magento:1.14.1.0:*:*:*:enterprise:*:*:*", "vulnerable": true } ], "operator": "OR"}
Источник: nvd