CVE-2019-4364Высокий
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
IBM Maximo Asset Management 7.6 уязвим для внедрения CSV, что может позволить удаленному аутентифицированному злоумышленнику выполнять прои…
CVSS
8.0
Высокий
EPSS
0.01
p80
Опубликовано
2019-01-01
Обновлено
2019-01-01
Описание
IBM Maximo Asset Management 7.6 уязвим для внедрения CSV, что может позволить удаленному аутентифицированному злоумышленнику выполнять произвольные команды в системе. IBM X-Force ID: 161680.
Теги · CWE
CWE-1236
CWE-1236БазаНеполный
Некорректная нейтрализация элементов формул в CSV-файле
Продукт сохраняет предоставленную пользователем информацию в файл с разделителями-запятыми (CSV), однако не нейтрализует или некорректно нейтрализует специальные элементы, которые могут быть интерпретированы как команды при открытии файла в табличном редакторе.
https://cwe.mitre.org/data/definitions/1236.html →Открыть в коллекции CWE →Затронутые продукты
Control_deskMaximo_for_aviationMaximo_for_life_sciencesMaximo_for_nuclear_powerMaximo_for_oil_and_gasMaximo_for_transportationMaximo_for_utilitiesSmartcloud_control_deskTivoli_integration_composer
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Хронология
2019-01-01
Опубликована
2019-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: R
Требуется (R)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.014 · p80
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Уязвимое ПО
| Продукт | Вендор | Статус |
|---|---|---|
| control_desk | * | Отслеживается |
| maximo_asset_management | * | Отслеживается |
| maximo_for_aviation | * | Отслеживается |
| maximo_for_life_sciences | * | Отслеживается |
| maximo_for_nuclear_power | * | Отслеживается |
| maximo_for_oil_and_gas | * | Отслеживается |
| maximo_for_transportation | * | Отслеживается |
| maximo_for_utilities | * | Отслеживается |
| smartcloud_control_desk | * | Отслеживается |
| tivoli_integration_composer | * | Отслеживается |
Источники данных
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →