XenForo до 2.3.9 и до 2.2.18 допускает удаленное выполнение кода (RCE) аутентифицированными, но злонамеренными пользователями-администраторами. Злоумышленник, имеющий доступ к панели администратора, может выполнить произвольный код на сервере.
Показать оригинальное описание (EN)
XenForo before 2.3.9 and before 2.2.18 allows remote code execution (RCE) by authenticated, but malicious, admin users. An attacker with admin panel access can execute arbitrary code on the server.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Xenforo Xenforo
cpe:2.3:a:xenforo:xenforo:*:*:*:*:*:*:*:*
|
— |
2.2.18
|
|
Xenforo Xenforo
cpe:2.3:a:xenforo:xenforo:*:*:*:*:*:*:*:*
|
2.3.0
|
2.3.9
|