Vulnerability Details CVE-2017-14143
The getUserzoneCookie function in Kaltura before 13.2.0 uses a hardcoded cookie secret to validate cookie signatures, which allows remote attackers to bypass an intended protection mechanism and consequently conduct PHP object injection attacks and execute arbitrary PHP code via a crafted userzone cookie.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.774
EPSS Ranking 98.9%
CVSS Severity
CVSS v3 Score 9.8
CVSS v2 Score 7.5
References
- http://www.securityfocus.com/bid/100976
- https://github.com/kaltura/server/commit/6a6d14328b7a1493e8c47f9565461e5f88be20c9#diff-0770640cc76112cbf77bebc604852682
- https://telekomsecurity.github.io/assets/advisories/20170912_kaltura-advisory.txt
- https://www.exploit-db.com/exploits/43028/
- https://www.exploit-db.com/exploits/43876/
- http://www.securityfocus.com/bid/100976
- https://github.com/kaltura/server/commit/6a6d14328b7a1493e8c47f9565461e5f88be20c9#diff-0770640cc76112cbf77bebc604852682
- https://telekomsecurity.github.io/assets/advisories/20170912_kaltura-advisory.txt
- https://www.exploit-db.com/exploits/43028/
- https://www.exploit-db.com/exploits/43876/
Products affected by CVE-2017-14143
-
cpe:2.3:a:kaltura:kaltura_server:10.0.0
-
cpe:2.3:a:kaltura:kaltura_server:10.1.0
-
cpe:2.3:a:kaltura:kaltura_server:10.10.0
-
cpe:2.3:a:kaltura:kaltura_server:10.11.0
-
cpe:2.3:a:kaltura:kaltura_server:10.12.0
-
cpe:2.3:a:kaltura:kaltura_server:10.13.0
-
cpe:2.3:a:kaltura:kaltura_server:10.14.0
-
cpe:2.3:a:kaltura:kaltura_server:10.15.0
-
cpe:2.3:a:kaltura:kaltura_server:10.16.0
-
cpe:2.3:a:kaltura:kaltura_server:10.17.0
-
cpe:2.3:a:kaltura:kaltura_server:10.18.0
-
cpe:2.3:a:kaltura:kaltura_server:10.19.0
-
cpe:2.3:a:kaltura:kaltura_server:10.2.0
-
cpe:2.3:a:kaltura:kaltura_server:10.20.0
-
cpe:2.3:a:kaltura:kaltura_server:10.21.0
-
cpe:2.3:a:kaltura:kaltura_server:10.3.0
-
cpe:2.3:a:kaltura:kaltura_server:10.4.0
-
cpe:2.3:a:kaltura:kaltura_server:10.5.0
-
cpe:2.3:a:kaltura:kaltura_server:10.6.0
-
cpe:2.3:a:kaltura:kaltura_server:10.7.0
-
cpe:2.3:a:kaltura:kaltura_server:10.8.0
-
cpe:2.3:a:kaltura:kaltura_server:10.9.0
-
cpe:2.3:a:kaltura:kaltura_server:11.0.0
-
cpe:2.3:a:kaltura:kaltura_server:11.1.0
-
cpe:2.3:a:kaltura:kaltura_server:11.10.0
-
cpe:2.3:a:kaltura:kaltura_server:11.11.0
-
cpe:2.3:a:kaltura:kaltura_server:11.12.0
-
cpe:2.3:a:kaltura:kaltura_server:11.13.0
-
cpe:2.3:a:kaltura:kaltura_server:11.14.0
-
cpe:2.3:a:kaltura:kaltura_server:11.15.0
-
cpe:2.3:a:kaltura:kaltura_server:11.16.0
-
cpe:2.3:a:kaltura:kaltura_server:11.17.0
-
cpe:2.3:a:kaltura:kaltura_server:11.18.0
-
cpe:2.3:a:kaltura:kaltura_server:11.19.0
-
cpe:2.3:a:kaltura:kaltura_server:11.2.0
-
cpe:2.3:a:kaltura:kaltura_server:11.20.0
-
cpe:2.3:a:kaltura:kaltura_server:11.21.0
-
cpe:2.3:a:kaltura:kaltura_server:11.3.0
-
cpe:2.3:a:kaltura:kaltura_server:11.4.0
-
cpe:2.3:a:kaltura:kaltura_server:11.5.0
-
cpe:2.3:a:kaltura:kaltura_server:11.6.0
-
cpe:2.3:a:kaltura:kaltura_server:11.7.0
-
cpe:2.3:a:kaltura:kaltura_server:11.8.0
-
cpe:2.3:a:kaltura:kaltura_server:11.9.0
-
cpe:2.3:a:kaltura:kaltura_server:12.0.0
-
cpe:2.3:a:kaltura:kaltura_server:12.1.0
-
cpe:2.3:a:kaltura:kaltura_server:12.10.0
-
cpe:2.3:a:kaltura:kaltura_server:12.11.0
-
cpe:2.3:a:kaltura:kaltura_server:12.12.0
-
cpe:2.3:a:kaltura:kaltura_server:12.13.0
-
cpe:2.3:a:kaltura:kaltura_server:12.14.0
-
cpe:2.3:a:kaltura:kaltura_server:12.15.0
-
cpe:2.3:a:kaltura:kaltura_server:12.16.0
-
cpe:2.3:a:kaltura:kaltura_server:12.17.0
-
cpe:2.3:a:kaltura:kaltura_server:12.18.0
-
cpe:2.3:a:kaltura:kaltura_server:12.19.0
-
cpe:2.3:a:kaltura:kaltura_server:12.2.0
-
cpe:2.3:a:kaltura:kaltura_server:12.20.0
-
cpe:2.3:a:kaltura:kaltura_server:12.3.0
-
cpe:2.3:a:kaltura:kaltura_server:12.4.0
-
cpe:2.3:a:kaltura:kaltura_server:12.5.0
-
cpe:2.3:a:kaltura:kaltura_server:12.6.0
-
cpe:2.3:a:kaltura:kaltura_server:12.7.0
-
cpe:2.3:a:kaltura:kaltura_server:12.8.0
-
cpe:2.3:a:kaltura:kaltura_server:12.9.0
-
cpe:2.3:a:kaltura:kaltura_server:13.0.0
-
cpe:2.3:a:kaltura:kaltura_server:13.1.0
-
cpe:2.3:a:kaltura:kaltura_server:13.10.0
-
cpe:2.3:a:kaltura:kaltura_server:13.11.0
-
cpe:2.3:a:kaltura:kaltura_server:13.12.0
-
cpe:2.3:a:kaltura:kaltura_server:13.13.0
-
cpe:2.3:a:kaltura:kaltura_server:13.14.0
-
cpe:2.3:a:kaltura:kaltura_server:13.15.0
-
cpe:2.3:a:kaltura:kaltura_server:13.16.0
-
cpe:2.3:a:kaltura:kaltura_server:13.17.0
-
cpe:2.3:a:kaltura:kaltura_server:13.18.0
-
cpe:2.3:a:kaltura:kaltura_server:13.19.0
-
cpe:2.3:a:kaltura:kaltura_server:13.2.0
-
cpe:2.3:a:kaltura:kaltura_server:13.20.0
-
cpe:2.3:a:kaltura:kaltura_server:13.3.0
-
cpe:2.3:a:kaltura:kaltura_server:13.4.0
-
cpe:2.3:a:kaltura:kaltura_server:13.5.0
-
cpe:2.3:a:kaltura:kaltura_server:13.6.0
-
cpe:2.3:a:kaltura:kaltura_server:13.7.0
-
cpe:2.3:a:kaltura:kaltura_server:13.8.0
-
cpe:2.3:a:kaltura:kaltura_server:13.9.0
-
cpe:2.3:a:kaltura:kaltura_server:14.0.0
-
cpe:2.3:a:kaltura:kaltura_server:14.1.0
-
cpe:2.3:a:kaltura:kaltura_server:14.10.0
-
cpe:2.3:a:kaltura:kaltura_server:14.11.0
-
cpe:2.3:a:kaltura:kaltura_server:14.12.0
-
cpe:2.3:a:kaltura:kaltura_server:14.13.0
-
cpe:2.3:a:kaltura:kaltura_server:14.14.0
-
cpe:2.3:a:kaltura:kaltura_server:14.15.0
-
cpe:2.3:a:kaltura:kaltura_server:14.16.0
-
cpe:2.3:a:kaltura:kaltura_server:14.17.0
-
cpe:2.3:a:kaltura:kaltura_server:14.18.0
-
cpe:2.3:a:kaltura:kaltura_server:14.19.0
-
cpe:2.3:a:kaltura:kaltura_server:14.2.0
-
cpe:2.3:a:kaltura:kaltura_server:14.20.0
-
cpe:2.3:a:kaltura:kaltura_server:14.3.0
-
cpe:2.3:a:kaltura:kaltura_server:14.4.0
-
cpe:2.3:a:kaltura:kaltura_server:14.5.0
-
cpe:2.3:a:kaltura:kaltura_server:14.6.0
-
cpe:2.3:a:kaltura:kaltura_server:14.7.0
-
cpe:2.3:a:kaltura:kaltura_server:14.8.0
-
cpe:2.3:a:kaltura:kaltura_server:14.9.0
-
cpe:2.3:a:kaltura:kaltura_server:15.0.0
-
cpe:2.3:a:kaltura:kaltura_server:15.1.0
-
cpe:2.3:a:kaltura:kaltura_server:15.10.0
-
cpe:2.3:a:kaltura:kaltura_server:15.11.0
-
cpe:2.3:a:kaltura:kaltura_server:15.12.0
-
cpe:2.3:a:kaltura:kaltura_server:15.13.0
-
cpe:2.3:a:kaltura:kaltura_server:15.14.0
-
cpe:2.3:a:kaltura:kaltura_server:15.15.0
-
cpe:2.3:a:kaltura:kaltura_server:15.16.0
-
cpe:2.3:a:kaltura:kaltura_server:15.17.0
-
cpe:2.3:a:kaltura:kaltura_server:15.18.0
-
cpe:2.3:a:kaltura:kaltura_server:15.19.0
-
cpe:2.3:a:kaltura:kaltura_server:15.2.0
-
cpe:2.3:a:kaltura:kaltura_server:15.20.0
-
cpe:2.3:a:kaltura:kaltura_server:15.3.0
-
cpe:2.3:a:kaltura:kaltura_server:15.4.0
-
cpe:2.3:a:kaltura:kaltura_server:15.5.0
-
cpe:2.3:a:kaltura:kaltura_server:15.6.0
-
cpe:2.3:a:kaltura:kaltura_server:15.7.0
-
cpe:2.3:a:kaltura:kaltura_server:15.8.0
-
cpe:2.3:a:kaltura:kaltura_server:15.9.0
-
cpe:2.3:a:kaltura:kaltura_server:16.0.0
-
cpe:2.3:a:kaltura:kaltura_server:16.0.1
-
cpe:2.3:a:kaltura:kaltura_server:16.1.0
-
cpe:2.3:a:kaltura:kaltura_server:16.10.0
-
cpe:2.3:a:kaltura:kaltura_server:16.11.0
-
cpe:2.3:a:kaltura:kaltura_server:16.12.0
-
cpe:2.3:a:kaltura:kaltura_server:16.13.0
-
cpe:2.3:a:kaltura:kaltura_server:16.14.0
-
cpe:2.3:a:kaltura:kaltura_server:16.15.0
-
cpe:2.3:a:kaltura:kaltura_server:16.16.0
-
cpe:2.3:a:kaltura:kaltura_server:16.17.0
-
cpe:2.3:a:kaltura:kaltura_server:16.18.0
-
cpe:2.3:a:kaltura:kaltura_server:16.19.0
-
cpe:2.3:a:kaltura:kaltura_server:16.2.0
-
cpe:2.3:a:kaltura:kaltura_server:16.20.0
-
cpe:2.3:a:kaltura:kaltura_server:16.4.0
-
cpe:2.3:a:kaltura:kaltura_server:16.5.0
-
cpe:2.3:a:kaltura:kaltura_server:16.6.0
-
cpe:2.3:a:kaltura:kaltura_server:16.7.0
-
cpe:2.3:a:kaltura:kaltura_server:16.8.0
-
cpe:2.3:a:kaltura:kaltura_server:16.9.0
-
cpe:2.3:a:kaltura:kaltura_server:17.0.0
-
cpe:2.3:a:kaltura:kaltura_server:17.1.0
-
cpe:2.3:a:kaltura:kaltura_server:17.2.0
-
cpe:2.3:a:kaltura:kaltura_server:17.3.0
-
cpe:2.3:a:kaltura:kaltura_server:17.4.0
-
cpe:2.3:a:kaltura:kaltura_server:17.5.0
-
cpe:2.3:a:kaltura:kaltura_server:9.0.0
-
cpe:2.3:a:kaltura:kaltura_server:9.11.0
-
cpe:2.3:a:kaltura:kaltura_server:9.12.0
-
cpe:2.3:a:kaltura:kaltura_server:9.13.0
-
cpe:2.3:a:kaltura:kaltura_server:9.14.0
-
cpe:2.3:a:kaltura:kaltura_server:9.15.0
-
cpe:2.3:a:kaltura:kaltura_server:9.16.0
-
cpe:2.3:a:kaltura:kaltura_server:9.17.0
-
cpe:2.3:a:kaltura:kaltura_server:9.18.0
-
cpe:2.3:a:kaltura:kaltura_server:9.19.0
-
cpe:2.3:a:kaltura:kaltura_server:9.19.1
-
cpe:2.3:a:kaltura:kaltura_server:9.19.2
-
cpe:2.3:a:kaltura:kaltura_server:9.19.3
-
cpe:2.3:a:kaltura:kaltura_server:9.19.4
-
cpe:2.3:a:kaltura:kaltura_server:9.19.5
-
cpe:2.3:a:kaltura:kaltura_server:9.19.6
-
cpe:2.3:a:kaltura:kaltura_server:9.19.7
-
cpe:2.3:a:kaltura:kaltura_server:9.19.8
-
cpe:2.3:a:kaltura:kaltura_server:9.3.0
-
cpe:2.3:a:kaltura:kaltura_server:9.5.0
-
cpe:2.3:a:kaltura:kaltura_server:9.6.0
-
cpe:2.3:a:kaltura:kaltura_server:9.8.0
-
cpe:2.3:a:kaltura:kaltura_server:9.9.0