CVE-2011-1685

2011-04-2210:55:00

CWE-352

[email protected]

web.nvd.nist.gov

cve

2011

1685

best practical solutions

3.8.0

3.8.9

4.0.0rc

4.0.0rc7

customfieldvaluessources

remote

authenticated users

arbitrary code

csrf

nvd

7.2 High

AI Score

Confidence

Low

4.6 Medium

CVSS2

Access Vector

NETWORK

Access Complexity

HIGH

Authentication

SINGLE

Confidentiality Impact

PARTIAL

Integrity Impact

PARTIAL

Availability Impact

PARTIAL

AV:N/AC:H/Au:S/C:P/I:P/A:P

0.004 Low

EPSS

Percentile

74.4%

JSON

Best Practical Solutions RT 3.8.0 through 3.8.9 and 4.0.0rc through 4.0.0rc7, when the CustomFieldValuesSources (aka external custom field) option is enabled, allows remote authenticated users to execute arbitrary code via unspecified vectors, as demonstrated by a cross-site request forgery (CSRF) attack.

CPENameOperatorVersion
bestpractical:rtbestpractical rteq3.8.7
bestpractical:rtbestpractical rteq3.8.9
bestpractical:rtbestpractical rteq3.8.8
bestpractical:rtbestpractical rteq3.8.2
bestpractical:rtbestpractical rteq3.8.0
bestpractical:rtbestpractical rteq3.8.5
bestpractical:rtbestpractical rteq3.8.6
bestpractical:rtbestpractical rteq3.8.3
bestpractical:rtbestpractical rteq3.8.1
bestpractical:rtbestpractical rteq3.8.4

CPE	Name	Operator	Version
bestpractical:rt	bestpractical rt	eq	3.8.7
bestpractical:rt	bestpractical rt	eq	3.8.9
bestpractical:rt	bestpractical rt	eq	3.8.8
bestpractical:rt	bestpractical rt	eq	3.8.2
bestpractical:rt	bestpractical rt	eq	3.8.0
bestpractical:rt	bestpractical rt	eq	3.8.5
bestpractical:rt	bestpractical rt	eq	3.8.6
bestpractical:rt	bestpractical rt	eq	3.8.3
bestpractical:rt	bestpractical rt	eq	3.8.1
bestpractical:rt	bestpractical rt	eq	3.8.4