Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-01319

Опубликовано: 21 нояб. 2019
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Средний

Описание

Уязвимость веб-приложения для управления проектами и задачами Redmine связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Jean-Philippe Lang
АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu
Debian GNU/Linux
Astra Linux Special Edition
Astra Linux Special Edition для «Эльбрус»
Redmine
ОС ОН «Стрелец»

Версия ПО

16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
19.04 (Ubuntu)
8 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
до 3.3.10 (Redmine)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Canonical Ltd. Ubuntu 19.04
Сообщество свободного программного обеспечения Debian GNU/Linux 8
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Redmine:
https://www.redmine.org/projects/redmine/wiki/Security_Advisories
Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4574
Для Ubuntu:
https://usn.ubuntu.com/4200-1/
Для Astra Linux:
Обновление программного обеспечения (пакета redmine) до 3.3.1-4+deb9u3 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения redmine до версии 3.3.1-4+deb9u5

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.28949
Средний

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-18890

CVSS3: 6.5
ubuntu
около 6 лет назад

A SQL injection vulnerability in Redmine through 3.2.9 and 3.3.x before 3.3.10 allows Redmine users to access protected information via a crafted object query.

nvd логотип

CVE-2019-18890

CVSS3: 6.5
nvd
около 6 лет назад

A SQL injection vulnerability in Redmine through 3.2.9 and 3.3.x before 3.3.10 allows Redmine users to access protected information via a crafted object query.

debian логотип

CVE-2019-18890

CVSS3: 6.5
debian
около 6 лет назад

A SQL injection vulnerability in Redmine through 3.2.9 and 3.3.x befor ...

github логотип

GHSA-79wp-q4g4-2m5r

github
больше 3 лет назад

A SQL injection vulnerability in Redmine through 3.2.9 and 3.3.x before 3.3.10 allows Redmine users to access protected information via a crafted object query.

EPSS

Процентиль: 96%
0.28949
Средний

6.5 Medium

CVSS3

6.8 Medium

CVSS2