Куда я попал?
CVE-2024-6396
PUBLISHED
01.08.2024
CNA: @huntr_ai
Arbitrary File Overwrite and Data Exfiltration in aimhubio/aim
Обновлено:
12.07.2024
A vulnerability in the `_backup_run` function in aimhubio/aim version 3.19.3 allows remote attackers to overwrite any file on the host server and exfiltrate arbitrary data. The vulnerability arises due to improper handling of the `run_hash` and `repo.path` parameters, which can be manipulated to create and write to arbitrary file paths. This can lead to denial of service by overwriting critical system files, loss of private data, and potential remote code execution.
CWE
| Идентификатор | Описание |
|---|---|
| CWE-29 | CWE-29 Path Traversal: '\..\filename' |
CVSS
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 9.8 | CRITICAL | 3.0 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Доп. Информация
Product Status
| aimhubio/aim | |||||
|---|---|---|---|---|---|
| Product: | aimhubio/aim | ||||
| Vendor: | aimhubio | ||||
| Default status: | Не определен | ||||
| Версии: |
|
||||
Ссылки
CISA ADP Vulnrichment
Обновлено:
12.07.2024
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.
SSVC
| Exploitation | Automatable | Technical Impact | Версия | Дата доступа |
|---|---|---|---|---|
| poc | yes | total | 2.0.3 | 12.07.2024 |
CVE Program Container
Обновлено:
01.08.2024
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.
Ссылки
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.