Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-00795

Опубликовано: 20 дек. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость компонентов proto и defineGetter properties шаблонизатора Handlebars существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Node.js Foundation
Сообщество свободного программного обеспечения
Juniper Networks Inc.

Наименование ПО

handlebars
Debian GNU/Linux
Contrail Networking

Версия ПО

до 4.3.0 (handlebars)
до 10.3 (Debian GNU/Linux)
до R1912 (Contrail Networking)

Тип ПО

Прикладное ПО информационных систем
Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux до 10.3

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для handlebars:
https://www.npmjs.com/advisories/1164
Для Debian GNU/Linux:
https://www.debian.org/News/2020/20200208.ru.html
Для программных продуктов Juniper Networks Inc.:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10992&cat=SIRT_1&actp=LIST

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.11128
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-19919

CVSS3: 9.8
ubuntu
около 6 лет назад

Versions of handlebars prior to 4.3.0 are vulnerable to Prototype Pollution leading to Remote Code Execution. Templates may alter an Object's __proto__ and __defineGetter__ properties, which may allow an attacker to execute arbitrary code through crafted payloads.

redhat логотип

CVE-2019-19919

CVSS3: 4.2
redhat
больше 6 лет назад

Versions of handlebars prior to 4.3.0 are vulnerable to Prototype Pollution leading to Remote Code Execution. Templates may alter an Object's __proto__ and __defineGetter__ properties, which may allow an attacker to execute arbitrary code through crafted payloads.

nvd логотип

CVE-2019-19919

CVSS3: 9.8
nvd
около 6 лет назад

Versions of handlebars prior to 4.3.0 are vulnerable to Prototype Pollution leading to Remote Code Execution. Templates may alter an Object's __proto__ and __defineGetter__ properties, which may allow an attacker to execute arbitrary code through crafted payloads.

debian логотип

CVE-2019-19919

CVSS3: 9.8
debian
около 6 лет назад

Versions of handlebars prior to 4.3.0 are vulnerable to Prototype Poll ...

github логотип

GHSA-w457-6q6x-cgp9

CVSS3: 9.8
github
около 6 лет назад

Prototype Pollution in handlebars

EPSS

Процентиль: 93%
0.11128
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2