Lucene search

[email protected]NVD:CVE-2017-16921

HistoryDec 08, 2017 - 3:29 p.m.

CVE-2017-16921

2017-12-0815:29:00

CWE-78

[email protected]

web.nvd.nist.gov

9 High

CVSS2

Attack Vector

NETWORK

Attack Complexity

LOW

Authentication

SINGLE

Confidentiality Impact

COMPLETE

Integrity Impact

COMPLETE

Availability Impact

COMPLETE

AV:N/AC:L/Au:S/C:C/I:C/A:C

8.8 High

CVSS3

Attack Vector

NETWORK

Attack Complexity

LOW

Privileges Required

LOW

User Interaction

NONE

Scope

UNCHANGED

Confidentiality Impact

HIGH

Integrity Impact

HIGH

Availability Impact

HIGH

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

9 High

AI Score

Confidence

High

0.023 Low

EPSS

Percentile

89.8%

JSON

In OTRS 6.0.x up to and including 6.0.1, OTRS 5.0.x up to and including 5.0.24, and OTRS 4.0.x up to and including 4.0.26, an attacker who is logged into OTRS as an agent can manipulate form parameters (related to PGP) and execute arbitrary shell commands with the permissions of the OTRS or web server user.

Affected configurations

NVD

Node

otrsotrsMatch4.0.1

otrsotrsMatch4.0.2

otrsotrsMatch4.0.3

otrsotrsMatch4.0.4

otrsotrsMatch4.0.5

otrsotrsMatch4.0.6

otrsotrsMatch4.0.7

otrsotrsMatch4.0.8

otrsotrsMatch4.0.9

otrsotrsMatch4.0.10

otrsotrsMatch4.0.11

otrsotrsMatch4.0.12

otrsotrsMatch4.0.13

otrsotrsMatch4.0.14

otrsotrsMatch4.0.15

otrsotrsMatch4.0.16

otrsotrsMatch4.0.17

otrsotrsMatch4.0.18

otrsotrsMatch4.0.19

otrsotrsMatch4.0.20

otrsotrsMatch4.0.21

otrsotrsMatch4.0.22

otrsotrsMatch4.0.23

otrsotrsMatch4.0.24

otrsotrsMatch4.0.25

otrsotrsMatch4.0.26

otrsotrsMatch5.0.0

otrsotrsMatch5.0.0alpha1

otrsotrsMatch5.0.0beta1

otrsotrsMatch5.0.0beta2

otrsotrsMatch5.0.0beta3

otrsotrsMatch5.0.0beta4

otrsotrsMatch5.0.0beta5

otrsotrsMatch5.0.0rc1

otrsotrsMatch5.0.1

otrsotrsMatch5.0.2

otrsotrsMatch5.0.3

otrsotrsMatch5.0.4

otrsotrsMatch5.0.5

otrsotrsMatch5.0.6

otrsotrsMatch5.0.7

otrsotrsMatch5.0.8

otrsotrsMatch5.0.9

otrsotrsMatch5.0.10

otrsotrsMatch5.0.11

otrsotrsMatch5.0.12

otrsotrsMatch5.0.13

otrsotrsMatch5.0.14

otrsotrsMatch5.0.15

otrsotrsMatch5.0.16

otrsotrsMatch5.0.17

otrsotrsMatch5.0.18

otrsotrsMatch5.0.19

otrsotrsMatch5.0.20

otrsotrsMatch5.0.21

otrsotrsMatch5.0.22

otrsotrsMatch5.0.23

otrsotrsMatch5.0.24

otrsotrsMatch6.0.0

otrsotrsMatch6.0.0alpha1

otrsotrsMatch6.0.0beta1

otrsotrsMatch6.0.0beta2

otrsotrsMatch6.0.0beta3

otrsotrsMatch6.0.0beta4

otrsotrsMatch6.0.0beta5

otrsotrsMatch6.0.0rc1

otrsotrsMatch6.0.1

Node

debiandebian_linuxMatch7.0

debiandebian_linuxMatch8.0

debiandebian_linuxMatch9.0

References

packetstormsecurity.com/files/162295/OTRS-6.0.1-Remote-Command-Execution.html

lists.debian.org/debian-lts-announce/2017/12/msg00015.html

www.debian.org/security/2017/dsa-4066

www.exploit-db.com/exploits/43853/

www.otrs.com/security-advisory-2017-09-security-update-otrs-framework/

9 High

CVSS2

Attack Vector

NETWORK

Attack Complexity

LOW

Authentication

SINGLE

Confidentiality Impact

COMPLETE

Integrity Impact

COMPLETE

Availability Impact

COMPLETE

AV:N/AC:L/Au:S/C:C/I:C/A:C

8.8 High

CVSS3

Attack Vector

NETWORK

Attack Complexity

LOW

Privileges Required

LOW

User Interaction

NONE

Scope

UNCHANGED

Confidentiality Impact

HIGH

Integrity Impact

HIGH

Availability Impact

HIGH

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

9 High

AI Score

Confidence

High

0.023 Low

EPSS

Percentile

89.8%

JSON

Related for NVD:CVE-2017-16921

osv3 exploitdb2 cve1 packetstorm2 openvas3 zdt2 debiancve1 exploitpack1 nessus4 ubuntucve1 prion1 cvelist1 debian2 freebsd1