Vulnerability Details : CVE-2020-8986
lib/NSSDropbox.php in ZendTo prior to 5.22-2 Beta failed to properly check for equality when validating the session cookie, allowing an attacker to gain administrative access with a large number of requests.
Products affected by CVE-2020-8986
- cpe:2.3:a:zend:zendto:4.11-5:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.11-4:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.11-3:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.11-2:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.11-10:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.11-8:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.10-5:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.09-1:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.03-3:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.01:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.11-9:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.11-7:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.11-1:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.10-4:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.02:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.00:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.11-11:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.08-4:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.07-1:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.06-2:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.05-2:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.10:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.11:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.12:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.13:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.20:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.51:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.52:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.53:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.54:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.55:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.56-2:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.57:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.58:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.59:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.60:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.61:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.62:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.63:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.64:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.65:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.70-2:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.71:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.72:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.73:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.74:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.75:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.90:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.91:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.92:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.93:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:3.94:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.11-12:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.11-13:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.11-14:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.12-5:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.12-6:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.13-1:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.20-2:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.20-3:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.20-5:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.20-6:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.20-7:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.25-3:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.27-1:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.27-2:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.27-4:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.27-5:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.27-6:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.27-7:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.28-1:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:4.28-2:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.00-1:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.00-2:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.01-5:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.02-5:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.03-1:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.04-7:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.09-13:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.10-1:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.10-2:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.11-1:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.11-2:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.11-3:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.11-4:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.11-5:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.11-6:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.12-3:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.12-4:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.12-6:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.12-7:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.12-8:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.13-1:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.13-2:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.14-2:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.14-5:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.15-1:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.16-1:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.16-4:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.16-5:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.16-7:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.16-8:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.16.6:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.17-1:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.17-2:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.17-3:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.17-4:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.17-5:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.17-6:*:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.18-1:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.18-2:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.19-1:production:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.20-1:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.20-2:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.20-3:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.20-5:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.20-6:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.20-7:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.20-8:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.20-9:beta:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.21-1:production:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.21-2:production:*:*:*:*:*:*
- cpe:2.3:a:zend:zendto:5.22-1:beta:*:*:*:*:*:*
Exploit prediction scoring system (EPSS) score for CVE-2020-8986
0.22%
Probability of exploitation activity in the next 30 days
EPSS Score History
~ 60 %
Percentile, the proportion of vulnerabilities that are scored at or less
CVSS scores for CVE-2020-8986
Base Score | Base Severity | CVSS Vector | Exploitability Score | Impact Score | Score Source | First Seen |
---|---|---|---|---|---|---|
7.5
|
HIGH | AV:N/AC:L/Au:N/C:P/I:P/A:P |
10.0
|
6.4
|
NIST | |
9.8
|
CRITICAL | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
3.9
|
5.9
|
NIST |
CWE ids for CVE-2020-8986
-
The product does not check or incorrectly checks for unusual or exceptional conditions that are not expected to occur frequently during day to day operation of the product.Assigned by: nvd@nist.gov (Primary)
References for CVE-2020-8986
-
https://zend.to/changelog.php
Official Home Page for ZendTo - Web-Based File TransferRelease Notes;Vendor Advisory
Jump to