CVE-2019-11580
Оценки
Оценка EPSS
0.9441
CVSS
3.x 9.8
Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Все оценки CVSS
Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Вектор: AV:N/AC:L/Au:N/C:P/I:P/A:P
Описание
Atlassian Crowd и Crowd Data Center имели неправильно включенный плагин разработки pdkinstall в сборках выпуска. Нападающие, которые могут отправлять неаутентифицированные или аутентифицированные запросы к экземпляру Crowd или Crowd Data Center, могут использовать эту уязвимость для установки произвольных плагинов, что разрешает удаленное выполнение кода на системах, работающих на уязвимой версии Crowd или Crowd Data Center. Все версии Crowd с версии 2.1.0 до 3.0.5 (исправленная версия для 3.0.x), с версии 3.1.0 до 3.1.6 (исправленная версия для 3.1.x), с версии 3.2.0 до 3.2.8 (исправленная версия для 3.2.x), с версии 3.3.0 до 3.3.5 (исправленная версия для 3.3.x) и с версии 3.4.0 до 3.4.4 (исправленная версия для 3.4.x) подвергаются этой уязвимости.
Источники
Связанные уязвимости
Эксплойты
ID эксплойта: CVE-2019-11580
Источник: cisa
URL: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Уязвимое ПО
Тип: Конфигурация
Поставщик: atlassian
Продукт: crowd
Операционная система: * * *
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:a:atlassian:crowd:*:*:*:*:*:*:*:*",
"versionEndExcluding": "3.0.5",
"versionStartIncluding": "2.1.0",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:atlassian:crowd:*:*:*:*:*:*:*:*",
"versionEndExcluding": "3.1.6",
"versionStartIncluding": "3.1.0",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:atlassian:crowd:*:*:*:*:*:*:*:*",
"versionEndExcluding": "3.2.8",
"versionStartIncluding": "3.2.0",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:atlassian:crowd:*:*:*:*:*:*:*:*",
"versionEndExcluding": "3.3.5",
"versionStartIncluding": "3.3.0",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:atlassian:crowd:*:*:*:*:*:*:*:*",
"versionEndExcluding": "3.4.4",
"versionStartIncluding": "3.4.0",
"vulnerable": true
}
],
"operator": "OR"
}Источник: nvd