CVE-2022-39315

CVE

Средний

Kirby - это система управления контентом. До версий 3.5.8.2, 3.6.6.2, 3.7.5.1 и 3.8.1 уязвимость перечисления пользователей затрагивает все…

CVSS

5.3

Средний

EPSS

0.01

p43

Опубликовано

2022-01-01

Обновлено

2022-01-01

Описание

Kirby - это система управления контентом. До версий 3.5.8.2, 3.6.6.2, 3.7.5.1 и 3.8.1 уязвимость перечисления пользователей затрагивает все сайты Kirby с учетными записями пользователей, если только API и панель Kirby не отключены в конфигурации. Ее можно использовать только для целевых атак, поскольку атака не масштабируется до грубой силы. Проблема была исправлена в Kirby 3.5.8.2, Kirby 3.6.6.2, Kirby 3.7.5.1 и Kirby 3.8.1. Во всех упомянутых выпусках сопровождающие переписали затронутый код, чтобы задержка также вставлялась после достижения предела грубой силы.

Теги · CWE

Без аутентификации

CWE-204

CAPEC-331

CAPEC-332

CAPEC-541

CAPEC-580

Затронутые продукты

Kirby < 3.5.8.2Kirby 3.6.0–3.6.6.2Kirby 3.7.0–3.7.5.1Kirby

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Хронология

2022-01-01

Опубликована

2022-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: L

Низкое (L)

Воздействие на целостность

I: N

Отсутствует (N)

Воздействие на доступность

A: N

Отсутствует (N)

Индикаторы эксплуатации

EPSS

0.006 · p43

Известна эксплуатация (KEV)

Нет

MITRE ATT&CK

Выводимые через CAPEC

T1082Обнаружение системной информации

└ через CAPEC-580 · CWE-204

T1592.002Программное обеспечение

└ через CAPEC-541 · CWE-204

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Затронутые продукты

Getkirby

Kirby

Продукт	Вендор	Статус
kirby	*	Отслеживается

Источники данных

CVE