BDU:2019-04585

Опубликовано: 12 нояб. 2019

Источник: fstec

CVSS3: 6.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость пакетов node-tar и fstream средства разработки программного обеспечения Microsoft Visual Studio связана с ошибками при проверке жёстких ссылок (при извлечении архивных файлов). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, изменить произвольные файлы (загрузив вредоносный пакет, либо заставив пользователя открыть вредоносный проект, либо убедив пользователя добавить вредоносный пакет в существующий проект)

Вендор

Microsoft Corp

Node.js Foundation

Наименование ПО

Microsoft Visual Studio

node-tar

fstream

Версия ПО

2017 15.9 (Microsoft Visual Studio)

2019 16.0 (Microsoft Visual Studio)

до 2.2.2 (node-tar)

2019 16.3 (Microsoft Visual Studio)

от 4.0.0 до 4.4.2 (node-tar)

до 1.0.12 (fstream)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Visual Studio:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1425

Для tar:

https://www.npmjs.com/advisories/803

Для fstream:

https://www.npmjs.com/advisories/886

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-1425
CVE

EPSS

Процентиль: 91%

0.07507

Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2019-1425

CVSS3: 6.5

nvd

почти 6 лет назад

An elevation of privilege vulnerability exists when Visual Studio fails to properly validate hardlinks while extracting archived files, aka 'Visual Studio Elevation of Privilege Vulnerability'.

CVE-2019-1425

msrc