BDU:2017-02257

Опубликовано: 03 апр. 2017

Источник: fstec

CVSS2: 5

EPSS Средний

Описание

Уязвимость параметра reportId метода getReportStatus средства антивирусной защиты Kaspersky Anti-Virus for Linux File Server связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, читать произвольные файлы с привилегиями текущего пользователя kluser

Вендор

АО «Лаборатория Касперского»

Наименование ПО

Kaspersky Anti-Virus for Linux File Server

Версия ПО

до 8.0.3.297 включительно (Kaspersky Anti-Virus for Linux File Server)

Тип ПО

Программное средство защиты

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

http://packetstormsecurity.com/files/143190/Kaspersky-Anti-Virus-File-Server-8.0.3.297-XSS-CSRF-Code-Execution.html

http://seclists.org/fulldisclosure/2017/Jun/33

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9812
CVE
http://www.securitytracker.com/id/1038798
Security Tracker
http://www.securityfocus.com/bid/99330
BID

EPSS

Процентиль: 96%

0.2717

Средний

5 Medium

CVSS2

Связанные уязвимости

CVE-2017-9812

CVSS3: 7.5

nvd

больше 8 лет назад

The reportId parameter of the getReportStatus action method can be abused in the web interface in Kaspersky Anti-Virus for Linux File Server before Maintenance Pack 2 Critical Fix 4 (version 8.0.4.312) to read arbitrary files with kluser privileges.

GHSA-wx6r-w4r4-766w