Vulnerability Name:

CVE-2020-25074 (CCN-191518)

Assigned:2020-11-08
Published:2020-11-08
Updated:2020-11-24
Summary:The cache action in action/cache.py in MoinMoin through 1.9.10 allows directory traversal through a crafted HTTP request. An attacker who can upload attachments to the wiki can use this to achieve remote code execution.
CVSS v3 Severity:9.8 Critical (CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
8.5 High (Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C)
Exploitability Metrics:Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope:Scope (S): Unchanged
Impact Metrics:Confidentiality (C): High
Integrity (I): High
Availibility (A): High
7.3 High (CCN CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)
6.4 Medium (CCN Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:U/RL:O/RC:C)
Exploitability Metrics:Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope:Scope (S): Unchanged
Impact Metrics:Confidentiality (C): Low
Integrity (I): Low
Availibility (A): Low
CVSS v2 Severity:7.5 High (CVSS v2 Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P)
Exploitability Metrics:Access Vector (AV): Network
Access Complexity (AC): Low
Authentication (Au): None
Impact Metrics:Confidentiality (C): Partial
Integrity (I): Partial
Availibility (A): Partial
7.5 High (CCN CVSS v2 Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P)
Exploitability Metrics:Access Vector (AV): Network
Access Complexity (AC): Low
Athentication (Au): None
Impact Metrics:Confidentiality (C): Partial
Integrity (I): Partial
Availibility (A): Partial
Vulnerability Type:CWE-22
Vulnerability Consequences:Obtain Information
References:Source: MITRE
Type: CNA
CVE-2020-25074

Source: MISC
Type: Third Party Advisory
http://moinmo.in/SecurityFixes

Source: XF
Type: UNKNOWN
moinmoin-cve202025074-dir-trav(191518)

Source: CCN
Type: MoinMoin GIT Repository
remote code execution via cache action

Source: MISC
Type: Third Party Advisory
https://github.com/moinwiki/moin-1.9/security/advisories/GHSA-52q8-877j-gghq

Source: MLIST
Type: Mailing List, Third Party Advisory
[debian-lts-announce] 20201110 [SECURITY] [DLA 2446-1] moin security update

Source: CCN
Type: MoinMoin Web site
MoinMoin

Source: DEBIAN
Type: Third Party Advisory
DSA-4787

Vulnerable Configuration:Configuration 1:
  • cpe:/a:moinmo:moinmoin:*:*:*:*:*:*:*:* (Version <= 1.9.10)

    • Configuration 2:
  • cpe:/o:debian:debian_linux:9.0:*:*:*:*:*:*:*
  • OR cpe:/o:debian:debian_linux:10.0:*:*:*:*:*:*:*

    • Configuration CCN 1:
  • cpe:/a:moinmo:moinmoin:0.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.5:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.6:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.2.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.3.0:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.3.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.3.5:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.3.5:rc1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.5:a:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.9.0:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.9.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.9.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.9.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.9.5:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.9.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.9.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.9.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.8.7:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.8.8:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.8.6:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.8.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.8.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.8.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.8.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.8.0:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.0:beta1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.0:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.0:rc1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.0:beta2:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.0:rc3:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.0:rc2:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.7.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.0:rc2:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.0:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.0:beta2:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.0:beta1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.6.0:rc1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:rc1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:beta6:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:beta5:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:beta4:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:beta3:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:beta2:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.0:beta1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.3:rc1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.3:rc2:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.5:rc1:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.5:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.5:a:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.6:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.7:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.5.8:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.3.4:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.3.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.3.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.2.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.2.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.2:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.2.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:1.0:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.7:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.8:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.11:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.9:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.10:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.3:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.1:*:*:*:*:*:*:*
  • OR cpe:/a:moinmo:moinmoin:0.2:*:*:*:*:*:*:*

    • * Denotes that component is vulnerable
    Oval Definitions
    Definition IDClassTitleLast Modified
    oval:org.opensuse.security:def:202025074
    V
    		CVE-2020-25074
    2022-05-22
    oval:org.opensuse.security:def:64821
    P
    		Security update for python-pip (Moderate)
    2021-12-13
    oval:org.opensuse.security:def:64577
    P
    		Security update for xen (Moderate)
    2021-09-18
    oval:org.opensuse.security:def:64714
    P
    		Security update for tpm2.0-tools (Moderate)
    2021-06-17
    oval:org.opensuse.security:def:64713
    P
    		Security update for the Linux Kernel (Important)
    2021-06-15
    oval:org.opensuse.security:def:65092
    P
    		Security update for ipmitool (Important)
    2020-12-01
    oval:org.opensuse.security:def:75034
    P
    		Security update for postgresql12 (Important)
    2020-12-01
    oval:org.opensuse.security:def:64923
    P
    		Security update for libxml2 (Low)
    2020-12-01
    oval:org.opensuse.security:def:75167
    P
    		Security update for moinmoin-wiki (Important)
    2020-12-01
    oval:org.opensuse.security:def:64980
    P
    		Security update for libssh2_org (Moderate)
    2020-12-01
    oval:org.opensuse.security:def:109738
    P
    		Security update for moinmoin-wiki (Important)
    2020-11-23
    oval:org.opensuse.security:def:96391
    P
    		Security update for moinmoin-wiki (Important)
    2020-11-23
    oval:org.opensuse.security:def:103081
    P
    		Security update for moinmoin-wiki (Important)
    2020-11-23
    oval:org.opensuse.security:def:110862
    P
    		Security update for moinmoin-wiki (Important)
    2020-11-19
    BACK
    moinmo moinmoin *
    debian debian linux 9.0
    debian debian linux 10.0
    moinmo moinmoin 0.4
    moinmo moinmoin 0.5
    moinmo moinmoin 0.6
    moinmo moinmoin 1.2.4
    moinmo moinmoin 1.3.0
    moinmo moinmoin 1.3.1
    moinmo moinmoin 1.3.5
    moinmo moinmoin 1.3.5 rc1
    moinmo moinmoin 1.4
    moinmo moinmoin 1.5.5 a
    moinmo moinmoin 1.9.0
    moinmo moinmoin 1.9.3
    moinmo moinmoin 1.9.3
    moinmo moinmoin 1.9.4
    moinmo moinmoin 1.9.5
    moinmo moinmoin 1.9.2
    moinmo moinmoin 1.9.1
    moinmo moinmoin 1.9.4
    moinmo moinmoin 1.8.7
    moinmo moinmoin 1.8.8
    moinmo moinmoin 1.8.6
    moinmo moinmoin 1.8.4
    moinmo moinmoin 1.8.3
    moinmo moinmoin 1.8.2
    moinmo moinmoin 1.8.1
    moinmo moinmoin 1.8.0
    moinmo moinmoin 1.7.0 beta1
    moinmo moinmoin 1.7.0
    moinmo moinmoin 1.7.0 rc1
    moinmo moinmoin 1.7.0 beta2
    moinmo moinmoin 1.7.0 rc3
    moinmo moinmoin 1.7.0 rc2
    moinmo moinmoin 1.7.2
    moinmo moinmoin 1.7.1
    moinmo moinmoin 1.7.3
    moinmo moinmoin 1.6.2
    moinmo moinmoin 1.6.1
    moinmo moinmoin 1.6.0 rc2
    moinmo moinmoin 1.6.4
    moinmo moinmoin 1.6.3
    moinmo moinmoin 1.6.0
    moinmo moinmoin 1.6.0 beta2
    moinmo moinmoin 1.6.0 beta1
    moinmo moinmoin 1.6.0 rc1
    moinmo moinmoin 1.5.1
    moinmo moinmoin 1.5.2
    moinmo moinmoin 1.5.0
    moinmo moinmoin 1.5.0 rc1
    moinmo moinmoin 1.5.0 beta6
    moinmo moinmoin 1.5.0 beta5
    moinmo moinmoin 1.5.0 beta4
    moinmo moinmoin 1.5.0 beta3
    moinmo moinmoin 1.5.0 beta2
    moinmo moinmoin 1.5.0 beta1
    moinmo moinmoin 1.5.3 rc1
    moinmo moinmoin 1.5.3 rc2
    moinmo moinmoin 1.5.3
    moinmo moinmoin 1.5.4
    moinmo moinmoin 1.5.5 rc1
    moinmo moinmoin 1.5.5
    moinmo moinmoin 1.5.5 a
    moinmo moinmoin 1.5.6
    moinmo moinmoin 1.5.7
    moinmo moinmoin 1.5.8
    moinmo moinmoin 1.3.4
    moinmo moinmoin 1.3.3
    moinmo moinmoin 1.3.2
    moinmo moinmoin 1.2.2
    moinmo moinmoin 1.2.1
    moinmo moinmoin 1.2
    moinmo moinmoin 1.2.3
    moinmo moinmoin 1.1
    moinmo moinmoin 1.0
    moinmo moinmoin 0.7
    moinmo moinmoin 0.8
    moinmo moinmoin 0.11
    moinmo moinmoin 0.9
    moinmo moinmoin 0.10
    moinmo moinmoin 0.3
    moinmo moinmoin 0.1
    moinmo moinmoin 0.2