BDU:2020-01257

Опубликовано: 15 мар. 2020

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость пакета Pulverizr пакетного менеджера NPM существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды в целевой системе посредством создания файла с вредоносным содержимым и именем lib/job. js

Вендор

Node.js Foundation

Наименование ПО

Pulverizr

Версия ПО

- (Pulverizr)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Ограничить использование программного средства

Статус уязвимости

Подтверждена в ходе исследований

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-7604
CVE

EPSS

Процентиль: 62%

0.00426

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2020-7604

CVSS3: 9.8

nvd

почти 6 лет назад

pulverizr through 0.7.0 allows execution of arbitrary commands. Within "lib/job.js", the variable "filename" can be controlled by the attacker. This function uses the variable "filename" to construct the argument of the exec call without any sanitization. In order to successfully exploit this vulnerability, an attacker will need to create a new file with the same name as the attack command.

GHSA-fmf5-j5j9-99pp

CVSS3: 9.8

github

почти 5 лет назад

OS Command Injection in pulverizr

EPSS

Процентиль: 62%

0.00426

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2