BDU:2021-00131

Опубликовано: 19 нояб. 2020

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость библиотеки libuci встраиваемой операционной системы OpenWrt связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

OpenWrt

Версия ПО

до 18.06.9 (OpenWrt)

от 19.07.0 до 19.07.5 (OpenWrt)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения OpenWrt до 18.06.9

Сообщество свободного программного обеспечения OpenWrt от 19.07.0 до 19.07.5

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://openwrt.org/advisory/2020-12-09-2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-28951
CVE

EPSS

Процентиль: 66%

0.00518

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2020-28951

CVSS3: 9.8

nvd

больше 4 лет назад

libuci in OpenWrt before 18.06.9 and 19.x before 19.07.5 may encounter a use after free when using malicious package names. This is related to uci_parse_package in file.c and uci_strdup in util.c.

GHSA-5w5g-2r2h-2cj2

CVSS3: 9.8

github

около 3 лет назад

libuci in OpenWrt before 18.06.9 and 19.x before 19.07.5 may encounter a use after free when using malicious package names. This is related to uci_parse_package in file.c and uci_strdup in util.c.

EPSS

Процентиль: 66%

0.00518

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2