Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-02443

Опубликовано: 28 апр. 2020
Источник: fstec
CVSS3: 7.4
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость реализации метода _.zipObjectDeep() библиотеки Lodash связана с выделением неограниченной памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код

Вендор

Oracle Corp.
John-David Dalton
ООО «Ред Софт»

Наименование ПО

Oracle Communications Session Border Controller
Oracle Communications Session Router
Oracle Communications Subscriber-Aware Load Balancer
Enterprise Communications Broker
lodash
РЕД ОС

Версия ПО

Cz8.4 (Oracle Communications Session Border Controller)
Cz8.4 (Oracle Communications Session Router)
Cz8.3 (Oracle Communications Subscriber-Aware Load Balancer)
Cz8.4 (Oracle Communications Subscriber-Aware Load Balancer)
PCz3.3 (Enterprise Communications Broker)
до 4.17.20 (lodash)
7.3 (РЕД ОС)

Тип ПО

Сетевое программное средство
Прикладное ПО информационных систем
Операционная система

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Lodash:
https://github.com/lodash/lodash/issues/4874
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2021.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03276
Низкий

7.4 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20240418-08

CVSS3: 7.5
redos
около 1 года назад

Множественные уязвимости opensearch-dashboards

ubuntu логотип

CVE-2020-8203

CVSS3: 7.4
ubuntu
почти 5 лет назад

Prototype pollution attack when using _.zipObjectDeep in lodash before 4.17.20.

redhat логотип

CVE-2020-8203

CVSS3: 7.4
redhat
около 5 лет назад

Prototype pollution attack when using _.zipObjectDeep in lodash before 4.17.20.

nvd логотип

CVE-2020-8203

CVSS3: 7.4
nvd
почти 5 лет назад

Prototype pollution attack when using _.zipObjectDeep in lodash before 4.17.20.

debian логотип

CVE-2020-8203

CVSS3: 7.4
debian
почти 5 лет назад

Prototype pollution attack when using _.zipObjectDeep in lodash before ...

EPSS

Процентиль: 87%
0.03276
Низкий

7.4 High

CVSS3

7.1 High

CVSS2