ID CVE-2017-14141
Summary The wiki_decode Developer System Helper function in the admin panel in Kaltura before 13.2.0 allows remote attackers to conduct PHP object injection attacks and execute arbitrary PHP code via a crafted serialized object.
References
Vulnerable Configurations
  • cpe:2.3:a:kaltura:kaltura_server:9.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.8.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.8.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.9.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.9.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.11.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.11.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.12.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.12.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.13.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.13.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.14.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.14.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.15.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.15.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.16.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.16.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.17.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.17.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.18.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.18.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.19.0:-:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.19.0:-:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.19.0:part2:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.19.0:part2:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.19.1:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.19.1:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.19.2:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.19.2:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.19.3:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.19.3:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.19.4:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.19.4:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.19.5:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.19.5:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.19.6:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.19.6:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.19.7:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.19.7:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:9.19.8:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:9.19.8:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.7.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.8.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.8.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.9.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.9.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.10.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.10.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.11.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.11.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.12.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.12.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.13.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.13.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.14.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.14.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.15.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.15.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.16.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.16.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.17.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.17.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.18.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.18.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.19.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.19.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.20.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.20.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:10.21.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:10.21.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.7.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.8.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.8.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.9.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.9.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.10.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.10.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.11.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.11.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.12.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.12.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.13.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.13.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.14.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.14.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.15.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.15.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.16.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.16.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.17.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.17.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.18.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.18.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.19.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.19.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.20.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.20.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:11.21.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:11.21.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.7.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.8.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.8.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.9.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.9.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.10.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.10.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.11.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.11.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.12.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.12.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.13.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.13.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.14.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.14.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.15.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.15.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.16.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.16.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.17.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.17.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.18.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.18.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.19.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.19.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:12.20.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:12.20.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:13.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:13.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:kaltura:kaltura_server:13.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:kaltura:kaltura_server:13.1.0:*:*:*:*:*:*:*
CVSS
Base: 6.5 (as of 17-10-2019 - 20:25)
Impact:
Exploitability:
CWE CWE-502
CAPEC
  • Object Injection
    An adversary attempts to exploit an application by injecting additional, malicious content during its processing of serialized objects. Developers leverage serialization in order to convert data or state into a static, binary format for saving to disk or transferring over a network. These objects are then deserialized when needed to recover the data/state. By injecting a malformed object into a vulnerable application, an adversary can potentially compromise the application by manipulating the deserialization process. This can result in a number of unwanted outcomes, including remote code execution.
Access
VectorComplexityAuthentication
NETWORK LOW SINGLE
Impact
ConfidentialityIntegrityAvailability
PARTIAL PARTIAL PARTIAL
cvss-vector via4 AV:N/AC:L/Au:S/C:P/I:P/A:P
refmap via4
bid 100976
confirm https://github.com/kaltura/server/commit/6a6d14328b7a1493e8c47f9565461e5f88be20c9#diff-0770640cc76112cbf77bebc604852682
misc https://telekomsecurity.github.io/assets/advisories/20170912_kaltura-advisory.txt
Last major update 17-10-2019 - 20:25
Published 19-09-2017 - 15:29
Last modified 17-10-2019 - 20:25
Back to Top