One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8400951 |
| Date de publication | 2023-10-26 15:15:08 (vue: 2023-10-26 17:08:39) |
| Titre | CVE-2023-45868 |
| Texte | Le module d'apprentissage dans ILIAS 7.25 (version 2023-09-12) permet à un attaquant (avec les privilèges de base des utilisateurs) d'atteindre une attaque de traversée de répertoire à fort impact contre la confidentialité et la disponibilité.En exploitant cette vulnérabilité basée sur le réseau, l'attaquant peut déplacer des répertoires spécifiés, normalement en dehors du documentroot, vers un emplacement accessible au public via la fonction PHP Rename ().Il en résulte une perte totale de confidentialité, d'exposer des ressources sensibles et potentiellement de refuser l'accès au composant affecté et aux composants du système d'exploitation.Pour exploiter cela, un attaquant doit manipuler une demande de poste lors de la création d'une unité d'exercice, en modifiant les paramètres old_name et new_name via le répertoire.Cependant, il est essentiel de noter que, lors de l'exploitation de cette vulnérabilité, le répertoire spécifié sera déplacé à partir de son emplacement d'origine, rendant tous les fichiers obtenus à partir de là indisponibles.
The Learning Module in ILIAS 7.25 (2023-09-12 release) allows an attacker (with basic user privileges) to achieve a high-impact Directory Traversal attack on confidentiality and availability. By exploiting this network-based vulnerability, the attacker can move specified directories, normally outside the documentRoot, to a publicly accessible location via the PHP function rename(). This results in a total loss of confidentiality, exposing sensitive resources, and potentially denying access to the affected component and the operating system\'s components. To exploit this, an attacker must manipulate a POST request during the creation of an exercise unit, by modifying the old_name and new_name parameters via directory traversal. However, it\'s essential to note that, when exploiting this vulnerability, the specified directory will be relocated from its original location, rendering all files obtained from there unavailable. |
| Envoyé | Oui |
| Condensat | 2023 45868 access accessible achieve affected all allows attack attacker availability based basic can component components confidentiality creation cve denying directories directory documentroot during essential exercise exploit exploiting exposing files from function high however ilias impact its learning location loss manipulate modifying module move must name network new normally note obtained old operating original outside parameters php post potentially privileges publicly release relocated rename rendering request resources results sensitive specified system total traversal unavailable unit user vulnerability when will |
| Tags | Threat |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.