CVE-2019-11580
Scores
EPSS Score
0.9441
CVSS
3.x 9.8
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
All CVSS Scores
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P
Description
Atlassian Crowd и Crowd Data Center имели неправильно включенный плагин разработки pdkinstall в сборках выпуска. Нападающие, которые могут отправлять неаутентифицированные или аутентифицированные запросы к экземпляру Crowd или Crowd Data Center, могут использовать эту уязвимость для установки произвольных плагинов, что разрешает удаленное выполнение кода на системах, работающих на уязвимой версии Crowd или Crowd Data Center. Все версии Crowd с версии 2.1.0 до 3.0.5 (исправленная версия для 3.0.x), с версии 3.1.0 до 3.1.6 (исправленная версия для 3.1.x), с версии 3.2.0 до 3.2.8 (исправленная версия для 3.2.x), с версии 3.3.0 до 3.3.5 (исправленная версия для 3.3.x) и с версии 3.4.0 до 3.4.4 (исправленная версия для 3.4.x) подвергаются этой уязвимости.
Sources
Related Vulnerabilities
Exploits
Exploit ID: CVE-2019-11580
Source: cisa
URL: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Vulnerable Software
Type: Configuration
Vendor: atlassian
Product: crowd
Operating System: * * *
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:a:atlassian:crowd:*:*:*:*:*:*:*:*",
"versionEndExcluding": "3.0.5",
"versionStartIncluding": "2.1.0",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:atlassian:crowd:*:*:*:*:*:*:*:*",
"versionEndExcluding": "3.1.6",
"versionStartIncluding": "3.1.0",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:atlassian:crowd:*:*:*:*:*:*:*:*",
"versionEndExcluding": "3.2.8",
"versionStartIncluding": "3.2.0",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:atlassian:crowd:*:*:*:*:*:*:*:*",
"versionEndExcluding": "3.3.5",
"versionStartIncluding": "3.3.0",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:atlassian:crowd:*:*:*:*:*:*:*:*",
"versionEndExcluding": "3.4.4",
"versionStartIncluding": "3.4.0",
"vulnerable": true
}
],
"operator": "OR"
}Source: nvd