Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-01362

Опубликовано: 16 авг. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость программной библиотеки Nokogiri связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Canonical Ltd.
Novell Inc.
Сообщество свободного программного обеспечения
АО "НППКТ"

Наименование ПО

Ubuntu
SUSE Enterprise Storage
SUSE OpenStack Cloud
SUSE OpenStack Cloud Crowbar
Debian GNU/Linux
HPE Helion Openstack
Nokogiri
ОСОН ОСнова Оnyx

Версия ПО

16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
4 (SUSE Enterprise Storage)
7 (SUSE OpenStack Cloud)
19.04 (Ubuntu)
8 (SUSE OpenStack Cloud)
8 (SUSE OpenStack Cloud Crowbar)
8 (Debian GNU/Linux)
8 (HPE Helion Openstack)
19.10 (Ubuntu)
до 1.10.3 включительно (Nokogiri)
до 2.6 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 19.04
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Canonical Ltd. Ubuntu 19.10
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Nokogiri:
https://github.com/sparklemotion/nokogiri/issues/1915
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-5477/
Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-5477.html
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/09/msg00027.html
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ruby-nokogiri до версии 1.10.0+dfsg1-2+deb10u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 90%
0.05874
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-5477

CVSS3: 9.8
ubuntu
больше 6 лет назад

A command injection vulnerability in Nokogiri v1.10.3 and earlier allows commands to be executed in a subprocess via Ruby's `Kernel.open` method. Processes are vulnerable only if the undocumented method `Nokogiri::CSS::Tokenizer#load_file` is being called with unsafe user input as the filename. This vulnerability appears in code generated by the Rexical gem versions v1.0.6 and earlier. Rexical is used by Nokogiri to generate lexical scanner code for parsing CSS queries. The underlying vulnerability was addressed in Rexical v1.0.7 and Nokogiri upgraded to this version of Rexical in Nokogiri v1.10.4.

nvd логотип

CVE-2019-5477

CVSS3: 9.8
nvd
больше 6 лет назад

A command injection vulnerability in Nokogiri v1.10.3 and earlier allows commands to be executed in a subprocess via Ruby's `Kernel.open` method. Processes are vulnerable only if the undocumented method `Nokogiri::CSS::Tokenizer#load_file` is being called with unsafe user input as the filename. This vulnerability appears in code generated by the Rexical gem versions v1.0.6 and earlier. Rexical is used by Nokogiri to generate lexical scanner code for parsing CSS queries. The underlying vulnerability was addressed in Rexical v1.0.7 and Nokogiri upgraded to this version of Rexical in Nokogiri v1.10.4.

debian логотип

CVE-2019-5477

CVSS3: 9.8
debian
больше 6 лет назад

A command injection vulnerability in Nokogiri v1.10.3 and earlier allo ...

github логотип

GHSA-cr5j-953j-xw5p

CVSS3: 9.8
github
больше 6 лет назад

Nokogiri Command Injection Vulnerability

suse-cvrf логотип

openSUSE-SU-2021:0237-1

suse-cvrf
около 5 лет назад

Security update for rubygem-nokogiri

EPSS

Процентиль: 90%
0.05874
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2