nophp sérülékenysége
Angol cím: nophp vulnerability
Publikálás dátuma: 2023.04.03.
Utolsó módosítás dátuma: 2023.04.03.
Leírás
Parancs injektálás: A program a parancs egészét vagy annak egy részét a bemenetről építi fel, de nem semlegesíti vagy nem megfelelően szűri azokat a speciális elemeket amelyek módosíthatják a tervezett parancsot, amikor az a következő komponensnek kerül átküldésre.
Leírás forrása: CWE-77Elemzés leírás
Eredeti nyelven: nophp is a PHP web framework. Prior to version 0.0.1, nophp is vulnerable to shell command injection on httpd user. A patch was made available at commit e5409aa2d441789cbb35f6b119bef97ecc3986aa on 2023-03-30. Users should update index.php to 2023-03-30 or later or, as a workaround, add a function such as `env_patchsample230330.php` to env.php.
Elemzés leírás forrása: CVE-2023-28854Hatás
CVSS3.1 Súlyosság és Metrika
Alap pontszám: 8 (Magas)
Vektor: AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 2.1
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Alacsony
Felhasználói Interakció (UI): Szükséges
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas
Sérülékeny szoftverek
nophp 0.0.1 előtti verziók
