Vulnerability Name: | CVE-2017-16933 (CCN-135514) | ||||||||||||||||||||||||||||||||||||||||||||
Assigned: | 2017-11-23 | ||||||||||||||||||||||||||||||||||||||||||||
Published: | 2017-11-23 | ||||||||||||||||||||||||||||||||||||||||||||
Updated: | 2019-10-03 | ||||||||||||||||||||||||||||||||||||||||||||
Summary: | etc/initsystem/prepare-dirs in Icinga 2.x through 2.8.1 has a chown call for a filename in a user-writable directory, which allows local users to gain privileges by leveraging access to the $ICINGA2_USER account for creation of a link. | ||||||||||||||||||||||||||||||||||||||||||||
CVSS v3 Severity: | 7.0 High (CVSS v3.1 Vector: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) 6.2 Medium (Temporal CVSS v3.1 Vector: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:U/RC:R)
7.4 High (CCN Temporal CVSS v3.1 Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:U/RC:R)
| ||||||||||||||||||||||||||||||||||||||||||||
CVSS v2 Severity: | 6.9 Medium (CVSS v2 Vector: AV:L/AC:M/Au:N/C:C/I:C/A:C)
| ||||||||||||||||||||||||||||||||||||||||||||
Vulnerability Type: | CWE-732 | ||||||||||||||||||||||||||||||||||||||||||||
Vulnerability Consequences: | Gain Privileges | ||||||||||||||||||||||||||||||||||||||||||||
References: | Source: MITRE Type: CNA CVE-2017-16933 Source: XF Type: UNKNOWN icinga-cve201716933-priv-esc(135514) Source: CCN Type: Icinga GIT Repository CVE-2017-16933: root privilege escalation via prepare-dirs (init script and systemd service file) #5793 Source: MISC Type: Exploit, Issue Tracking, Third Party Advisory https://github.com/Icinga/icinga2/issues/5793 Source: CCN Type: WhiteSource Vulnerability Database CVE-2017-16933 | ||||||||||||||||||||||||||||||||||||||||||||
Vulnerable Configuration: | Configuration 1: Configuration CCN 1: Denotes that component is vulnerable | ||||||||||||||||||||||||||||||||||||||||||||
Oval Definitions | |||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||
BACK |