CVE-2020-8986

CRITICAL EPSS 71.8%
Published Mar 24, 20206y ago · Modified Jun 17, 20262w ago
9.8 CVSS 3.1
Critical
Find Similar
Published Mar 24, 2020 6y ago
Last Modified Jun 17, 2026 2w ago

Description

lib/NSSDropbox.php in ZendTo prior to 5.22-2 Beta failed to properly check for equality when validating the session cookie, allowing an attacker to gain administrative access with a large number of requests.

CVSS Details

Base Score
9.8
Exploitability
3.9
Impact
5.9
Vector string
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Attack Vector Network
Attack Complexity Low
Privileges Required None
User Interaction None
Scope Unchanged
Confidentiality High
Integrity High
Availability High

Threat Intelligence

EPSS Exploit Probability
71.8% percentile
Exploit & Patch Status
No Known Exploit
No Patch Available

Weaknesses 1

CWE-754

Affected Products 123

VendorProductVersionRange
zendzendto3.10any
zendzendto3.11any
zendzendto3.12any
zendzendto3.13any
zendzendto3.20any
zendzendto3.51any
zendzendto3.52any
zendzendto3.53any
zendzendto3.54any
zendzendto3.55any
zendzendto3.56-2any
zendzendto3.57any
zendzendto3.58any
zendzendto3.59any
zendzendto3.60any
zendzendto3.61any
zendzendto3.62any
zendzendto3.63any
zendzendto3.64any
zendzendto3.65any
zendzendto3.70-2any
zendzendto3.71any
zendzendto3.72any
zendzendto3.73any
zendzendto3.74any
zendzendto3.75any
zendzendto3.90any
zendzendto3.91any
zendzendto3.92any
zendzendto3.93any
zendzendto3.94any
zendzendto4.00any
zendzendto4.01any
zendzendto4.02any
zendzendto4.03-3any
zendzendto4.05-2any
zendzendto4.06-2any
zendzendto4.07-1any
zendzendto4.08-4any
zendzendto4.09-1any
zendzendto4.10-4any
zendzendto4.10-5any
zendzendto4.11-1any
zendzendto4.11-2any
zendzendto4.11-3any
zendzendto4.11-4any
zendzendto4.11-5any
zendzendto4.11-7any
zendzendto4.11-8any
zendzendto4.11-9any
zendzendto4.11-10any
zendzendto4.11-11any
zendzendto4.11-12any
zendzendto4.11-13any
zendzendto4.11-14any
zendzendto4.12-5any
zendzendto4.12-6any
zendzendto4.13-1any
zendzendto4.20-2any
zendzendto4.20-3any
zendzendto4.20-5any
zendzendto4.20-6any
zendzendto4.20-7any
zendzendto4.25-3any
zendzendto4.27-1any
zendzendto4.27-2any
zendzendto4.27-4any
zendzendto4.27-5any
zendzendto4.27-6any
zendzendto4.27-7any
zendzendto4.28-1any
zendzendto4.28-2any
zendzendto5.00-1any
zendzendto5.00-2any
zendzendto5.01-5any
zendzendto5.02-5any
zendzendto5.03-1any
zendzendto5.04-7any
zendzendto5.09-13any
zendzendto5.10-1any
zendzendto5.10-2any
zendzendto5.11-1any
zendzendto5.11-2any
zendzendto5.11-3any
zendzendto5.11-4any
zendzendto5.11-5any
zendzendto5.11-6any
zendzendto5.12-3any
zendzendto5.12-4any
zendzendto5.12-6any
zendzendto5.12-7any
zendzendto5.12-8any
zendzendto5.13-1any
zendzendto5.13-2any
zendzendto5.14-2any
zendzendto5.14-5any
zendzendto5.15-1any
zendzendto5.16-1any
zendzendto5.16-4any
zendzendto5.16-5any
zendzendto5.16-7any
zendzendto5.16-8any
zendzendto5.16.6any
zendzendto5.17-1any
zendzendto5.17-2any
zendzendto5.17-3any
zendzendto5.17-4any
zendzendto5.17-5any
zendzendto5.17-6any
zendzendto5.18-1any
zendzendto5.18-2any
zendzendto5.19-1any
zendzendto5.20-1any
zendzendto5.20-2any
zendzendto5.20-3any
zendzendto5.20-5any
zendzendto5.20-6any
zendzendto5.20-7any
zendzendto5.20-8any
zendzendto5.20-9any
zendzendto5.21-1any
zendzendto5.21-2any
zendzendto5.22-1any

References 1

  • zend.to https://zend.to/changelog.php
    Release NotesVendor Advisory

Remediation

No remediation data recorded yet

Check vendor advisories and the NVD entry for patch availability.