Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-03315

Опубликовано: 30 июл. 2019
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость программное средство редактирования электронных книг в формате EPUB Sigil существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, записать произвольные файлы в произвольную директорию

Вендор

Canonical Ltd.
Flightcrew Project
Сообщество свободного программного обеспечения

Наименование ПО

Ubuntu
FlightCrew
Sigil

Версия ПО

16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
19.04 (Ubuntu)
до 0.9.2 включительно (FlightCrew)
до 0.9.16 (Sigil)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 19.04

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Sigil:
https://github.com/Sigil-Ebook/Sigil/releases/tag/0.9.16
https://github.com/Sigil-Ebook/Sigil/commit/04e2f280cc4a0766bedcc7b9eb56449ceecc2ad4
https://github.com/Sigil-Ebook/Sigil/commit/0979ba8d10c96ebca330715bfd4494ea0e019a8f
https://github.com/Sigil-Ebook/Sigil/commit/369eebe936e4a8c83cc54662a3412ce8bef189e4
Для Ubuntu:
https://ubuntu.com/security/notices/USN-4085-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 86%
0.03043
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-14452

CVSS3: 7.5
ubuntu
больше 6 лет назад

Sigil before 0.9.16 is vulnerable to a directory traversal, allowing attackers to write arbitrary files via a ../ (dot dot slash) in a ZIP archive entry that is mishandled during extraction.

nvd логотип

CVE-2019-14452

CVSS3: 7.5
nvd
больше 6 лет назад

Sigil before 0.9.16 is vulnerable to a directory traversal, allowing attackers to write arbitrary files via a ../ (dot dot slash) in a ZIP archive entry that is mishandled during extraction.

debian логотип

CVE-2019-14452

CVSS3: 7.5
debian
больше 6 лет назад

Sigil before 0.9.16 is vulnerable to a directory traversal, allowing a ...

github логотип

GHSA-4h5v-f3pf-4x55

CVSS3: 7.5
github
больше 3 лет назад

Sigil before 0.9.16 is vulnerable to a directory traversal, allowing attackers to write arbitrary files via a ../ (dot dot slash) in a ZIP archive entry that is mishandled during extraction.

EPSS

Процентиль: 86%
0.03043
Низкий

7.5 High

CVSS3

7.8 High

CVSS2