Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03899

Опубликовано: 20 дек. 2018
Источник: fstec
CVSS3: 8.8
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость менеджера пакетов Hex связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем загрузки пакетов с вредоносного дублированного сайта (зеркала)

Вендор

Oracle Corp.
Сообщество свободного программного обеспечения

Наименование ПО

Solaris
Hex

Версия ПО

11.4 (Solaris)
от 0.14.0 до 0.18.2 включительно (Hex)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Oracle Corp. Solaris 11.4

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.oracle.com/security-alerts/bulletinjul2019.html
Для Hex:
https://github.com/hexpm/hex/pull/646
https://github.com/hexpm/hex/pull/651

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 46%
0.00233
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2019-1000012

CVSS3: 8.8
nvd
около 7 лет назад

Hex package manager version 0.14.0 through 0.18.2 contains a Signing oracle vulnerability in Package registry verification that can result in Package modifications not detected, allowing code execution. This attack appears to be exploitable via victim fetches packages from malicious/compromised mirror. This vulnerability appears to have been fixed in 0.19.

github логотип

GHSA-rhxf-5pw9-q4gm

CVSS3: 8.8
github
больше 3 лет назад

Hex package manager version 0.14.0 through 0.18.2 contains a Signing oracle vulnerability in Package registry verification that can result in Package modifications not detected, allowing code execution. This attack appears to be exploitable via victim fetches packages from malicious/compromised mirror. This vulnerability appears to have been fixed in 0.19.

EPSS

Процентиль: 46%
0.00233
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2