CVE-2024-10857Средний
ANC
ANC
Коррекции базы Anchore
Дополнительная лента, накладываемая поверх upstream-источников. Мейнтейнеры Anchore публикуют корректирующие записи, чтобы подавить известные ложные срабатывания и восполнить пробелы в CPE/PURL, из-за которых Grype и аналогичные сканеры могут некорректно оценить систему.
Регион
США
Обновления
6 ч
Лицензия
Apache-2.0
Выверенные коррекции базы уязвимостей Anchore/Grype: подавление ложных срабатываний, недостающие привязки CPE и дистрибутив-специфичные бэкпорты исправлений.
https://github.com/anchore/grype-db →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
Плагин Product Input Fields for WooCommerce для WordPress подвержен обходу каталогов во всех версиях до 1.9 включительно через функцию hand…
CVSS
6.5
Средний
EPSS
0.01
p49
Опубликовано
2024-01-01
Обновлено
2024-01-01
Описание
Плагин Product Input Fields for WooCommerce для WordPress подвержен обходу каталогов во всех версиях до 1.9 включительно через функцию handle_downloads() из-за недостаточной проверки/очистки пути к файлу. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Contributor и выше читать содержимое произвольных файлов на сервере, которые могут содержать конфиденциальную информацию.
Теги · CWE
CWE-35
CWE-35ВариантНеполный
Выход за пределы каталога: '.../...//'
Продукт использует внешние входные данные для формирования пути, который должен находиться внутри ограниченного каталога, однако не нейтрализует должным образом последовательности '.../...//' (удвоенные тройные точки с косой чертой), способные разрешиться в местоположение за пределами этого каталога.
https://cwe.mitre.org/data/definitions/35.html →Открыть в коллекции CWE →Затронутые продукты
Product_input_fields_for_woocommerce < 2.0
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Хронология
2024-01-01
Опубликована
2024-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.007 · p49
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| product_input_fields_for_woocommerce | * | Отслеживается |
Источники данных
ANC
ANC
Коррекции базы Anchore
Дополнительная лента, накладываемая поверх upstream-источников. Мейнтейнеры Anchore публикуют корректирующие записи, чтобы подавить известные ложные срабатывания и восполнить пробелы в CPE/PURL, из-за которых Grype и аналогичные сканеры могут некорректно оценить систему.
Регион
США
Обновления
6 ч
Лицензия
Apache-2.0
Выверенные коррекции базы уязвимостей Anchore/Grype: подавление ложных срабатываний, недостающие привязки CPE и дистрибутив-специфичные бэкпорты исправлений.
https://github.com/anchore/grype-db →CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →