| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 2 |
| CVSSv2 рейтинг: | (AV:L/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:6.9/Temporal:5.1 (AV:L/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:6.9/Temporal:5.1 |
| CVE ID: | CVE-2013-0132 CVE-2013-0133 |
| Вектор эксплуатации: | Локальная |
| Воздействие: | Повышение привилегий |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Parallels Plesk Panel 10.x Parallels Plesk Panel 11.x Parallels Plesk Panel 9.x |
Уязвимые версии: Parallels Plesk Panel 9.5 для Linux, возможно другие версии.Parallels Plesk Panel 10.x для Linux, возможно другие версии.Parallels Plesk Panel 11.x для Linux, возможно другие версии.
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
1. Уязвимость существует из-за того, что /usr/sbin/suexec binary позволяет выполнение cgi-wrapper binary. Удаленный пользователь может выполнить произволь PHP-сценарий с повышенными привилегиями.
2. Уязвимость существует из-за того, что /usr/local/psa/admin/sbin/wrapper binary позволяет выполнение определенных административных сценариев с правами ядра. Удаленный пользователь может выполнить произвольный двоичный код с привилегиями ядра.
Для успешной эксплуатации уязвимости требуется, чтобы Apache был настроен на использование mod_php, mod_perl или mod_python.
URL производителя: http://www.parallels.com/ru/products/plesk/
Решение: Установите обновление с сайта производителя.
Ссылки:
http://kb.parallels.com/en/115942
http://www.kb.cert.org/vuls/id/310500