CVE-2018-1321

EPSS 18.0%

Vexday Risk Score

28Baixo

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS —EPSS 18.0%KEV nãoPoC públicaNuclei —Metasploit —Patch —

Ciclo de vida

20 mar 2018Publicada no NVD

13 set 2018PoC pública

Recomendação: Planejar correção próxima — já existe PoC pública.

An administrator with report and template entitlements in Apache Syncope 1.2.x before 1.2.11, 2.0.x before 2.0.8, and unsupported releases 1.0.x and 1.1.x which may be also affected, can use XSL Transformations (XSLT) to perform malicious operations, including but not limited to file read, file write, and code execution.

Produtos afetados

Apache Software Foundation · Apache Syncope

PoCs públicas encontradas — 2

cve_referencewww.exploit-db.com/exploits/45400/não verificado exploitdbwww.exploit-db.com/exploits/45400não verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.exploit-db.com/exploits/45400/http://syncope.apache.org/security.html#CVE-2018-1321:_Remote_code_execution_by_administrators_with_report_and_template_entitlements http://www.securityfocus.com/bid/103508