V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыДокументация
К каталогу
CVE-2024-2053
CVE
ВысокийПодтвержденаЭксплойт есть

Административное веб-приложение Artica Proxy десериализует произвольные объекты PHP, предоставленные неаутентифицированными пользователями,…

CVSS
7.5
Высокий
EPSS
0.37
p97
Опубликовано
2024-01-01
Обновлено
2024-01-01
Описание

Административное веб-приложение Artica Proxy десериализует произвольные объекты PHP, предоставленные неаутентифицированными пользователями, и впоследствии позволяет выполнение кода от имени пользователя "www-data". Эта проблема была продемонстрирована на версии 4.50 административного веб-приложения The Artica-Proxy, которое пытается предотвратить локальное включение файлов. Эти меры защиты могут быть обойдены, и произвольные запросы файлов, предоставленные неаутентифицированными пользователями, будут возвращены в соответствии с привилегиями пользователя "www-data".

Теги · CWE
Без аутентификации
CWE-23
CAPEC-76
CAPEC-139
Затронутые продукты
Artica_proxy
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Хронология
2024-01-01
Опубликована
2024-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.365 · p97
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
CVE-2024-2053
github-poc · https://github.com/b-L-x/CVE-2024-2053
Enterprise
Уязвимое ПО
ПродуктВендорСтатус
artica_proxy*Отслеживается
Источники данных
CVE