Vulnerabilities > CVE-2017-14141 - Deserialization of Untrusted Data vulnerability in Kaltura Server

CVSS 6.5 - MEDIUM

Attack vector

NETWORK

Attack complexity

LOW

Privileges required

SINGLE

Confidentiality impact

PARTIAL

Integrity impact

PARTIAL

Availability impact

PARTIAL

network

low complexity

kaltura

CWE-502

NVD

Published: 2017-09-19

Updated: 2019-10-17

Summary

The wiki_decode Developer System Helper function in the admin panel in Kaltura before 13.2.0 allows remote attackers to conduct PHP object injection attacks and execute arbitrary PHP code via a crafted serialized object.

Vulnerable Configurations

Part	Description	Count
Application	Kaltura Kaltura Kaltura Server 9.0.0 Kaltura Kaltura Server 9.3.0 Kaltura Kaltura Server 9.5.0 Kaltura Kaltura Server 9.6.0 Kaltura Kaltura Server 9.8.0 Kaltura Kaltura Server 9.9.0 Kaltura Kaltura Server 9.11.0 Kaltura Kaltura Server 9.12.0 Kaltura Kaltura Server 9.13.0 Kaltura Kaltura Server 9.14.0 Kaltura Kaltura Server 9.15.0 Kaltura Kaltura Server 9.16.0 Kaltura Kaltura Server 9.17.0 Kaltura Kaltura Server 9.18.0 Kaltura Kaltura Server 9.19.0 Kaltura Kaltura Server 9.19.1 Kaltura Kaltura Server 9.19.2 Kaltura Kaltura Server 9.19.3 Kaltura Kaltura Server 9.19.4 Kaltura Kaltura Server 9.19.5 Kaltura Kaltura Server 9.19.6 Kaltura Kaltura Server 9.19.7 Kaltura Kaltura Server 9.19.8 Kaltura Kaltura Server 10.0.0 Kaltura Kaltura Server 10.1.0 Kaltura Kaltura Server 10.2.0 Kaltura Kaltura Server 10.3.0 Kaltura Kaltura Server 10.4.0 Kaltura Kaltura Server 10.5.0 Kaltura Kaltura Server 10.6.0 Kaltura Kaltura Server 10.7.0 Kaltura Kaltura Server 10.8.0 Kaltura Kaltura Server 10.9.0 Kaltura Kaltura Server 10.10.0 Kaltura Kaltura Server 10.11.0 Kaltura Kaltura Server 10.12.0 Kaltura Kaltura Server 10.13.0 Kaltura Kaltura Server 10.14.0 Kaltura Kaltura Server 10.15.0 Kaltura Kaltura Server 10.16.0 Kaltura Kaltura Server 10.17.0 Kaltura Kaltura Server 10.18.0 Kaltura Kaltura Server 10.19.0 Kaltura Kaltura Server 10.20.0 Kaltura Kaltura Server 10.21.0 Kaltura Kaltura Server 11.0.0 Kaltura Kaltura Server 11.1.0 Kaltura Kaltura Server 11.2.0 Kaltura Kaltura Server 11.3.0 Kaltura Kaltura Server 11.4.0 Kaltura Kaltura Server 11.5.0 Kaltura Kaltura Server 11.6.0 Kaltura Kaltura Server 11.7.0 Kaltura Kaltura Server 11.8.0 Kaltura Kaltura Server 11.9.0 Kaltura Kaltura Server 11.10.0 Kaltura Kaltura Server 11.11.0 Kaltura Kaltura Server 11.12.0 Kaltura Kaltura Server 11.13.0 Kaltura Kaltura Server 11.14.0 Kaltura Kaltura Server 11.15.0 Kaltura Kaltura Server 11.16.0 Kaltura Kaltura Server 11.17.0 Kaltura Kaltura Server 11.18.0 Kaltura Kaltura Server 11.19.0 Kaltura Kaltura Server 11.20.0 Kaltura Kaltura Server 11.21.0 Kaltura Kaltura Server 12.0.0 Kaltura Kaltura Server 12.1.0 Kaltura Kaltura Server 12.2.0 Kaltura Kaltura Server 12.3.0 Kaltura Kaltura Server 12.4.0 Kaltura Kaltura Server 12.5.0 Kaltura Kaltura Server 12.6.0 Kaltura Kaltura Server 12.7.0 Kaltura Kaltura Server 12.8.0 Kaltura Kaltura Server 12.9.0 Kaltura Kaltura Server 12.10.0 Kaltura Kaltura Server 12.11.0 Kaltura Kaltura Server 12.12.0 Kaltura Kaltura Server 12.13.0 Kaltura Kaltura Server 12.14.0 Kaltura Kaltura Server 12.15.0 Kaltura Kaltura Server 12.16.0 Kaltura Kaltura Server 12.17.0 Kaltura Kaltura Server 12.18.0 Kaltura Kaltura Server 12.19.0 Kaltura Kaltura Server 12.20.0 Kaltura Kaltura Server 13.0.0 Kaltura Kaltura Server 13.1.0	91

Common Weakness Enumeration (CWE)

CWE-502 - Deserialization of Untrusted Data

Packetstorm

data source	https://packetstormsecurity.com/files/download/144304/kaltura-xssexec.txt
id	PACKETSTORM:144304
last seen	2017-09-26
published	2017-09-23
reporter	Robin Verton
source	https://packetstormsecurity.com/files/144304/Kaltura-13.1.0-Code-Execution-Cross-Site-Scripting.html
title	Kaltura 13.1.0 Code Execution / Cross Site Scripting

Summary

Vulnerable Configurations

Common Weakness Enumeration (CWE)

Packetstorm

References