CVE-2017-17562
Оценки
Оценка EPSS
0.9437
CVSS
3.x 8.1
Вектор: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Все оценки CVSS
Вектор: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Вектор: AV:N/AC:M/Au:N/C:P/I:P/A:P
Описание
Embedthis GoAhead перед 3.6.5 позволяет удаленное выполнение кода, если включен CGI, и программа CGI динамически связана. Это результат инициализации среды фик-кода CGI-скриптов с использованием ненадежных параметров HTTP запроса в функции cgiHandler в cgi.c. В сочетании с динамическим линкером glibc это поведение может быть злоупотреблено для удаленного выполнения кода с использованием специальных имен параметров, таких как LD_PRELOAD. Злоумышленник может заполучить свою общую полезность объекта в теле запроса и ссылаться на него с помощью /proc/self/fd/0.
Источники
Связанные уязвимости
Эксплойты
ID эксплойта: CVE-2017-17562
Источник: cisa
URL: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Справочные ссылки
Уязвимое ПО
Тип: Конфигурация
Поставщик: embedthis
Продукт: goahead
Операционная система: * * *
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:a:embedthis:goahead:*:*:*:*:*:*:*:*",
"versionEndExcluding": "3.6.5",
"vulnerable": true
}
],
"operator": "OR"
}Источник: nvd
Тип: Конфигурация
Поставщик: oracle
Продукт: integrated_lights_out_manager
Операционная система: * * *
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:a:oracle:integrated_lights_out_manager:3.0:*:*:*:*:*:*:*",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:oracle:integrated_lights_out_manager:4.0:*:*:*:*:*:*:*",
"vulnerable": true
}
],
"operator": "OR"
}Источник: nvd