Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04029

Опубликовано: 20 июл. 2021
Источник: fstec
CVSS3: 4.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость менеджера для серверов Cockpit связана с ошибками при отображении пользовательского интерфейса или фреймов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, внедрить вредоносный код

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
АО "НППКТ"
АО «НТЦ ИТ РОСА»

Наименование ПО

Red Hat Enterprise Linux
cockpit
ОСОН ОСнова Оnyx
ROSA Virtualization

Версия ПО

8 (Red Hat Enterprise Linux)
- (cockpit)
до 2.5 (ОСОН ОСнова Оnyx)
2.1 (ROSA Virtualization)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Red Hat:
https://access.redhat.com/security/cve/CVE-2021-3660
Для cockpit:
https://github.com/cockpit-project/cockpit/issues/16122
Заголовок X-Frame-Options может быть добавлен к ответам для предотвращения таких атак
Для ОСОН Основа:
Обновление программного обеспечения cockpit до версии 260-1
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2280

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 49%
0.00256
Низкий

4.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-3660

CVSS3: 4.3
ubuntu
больше 3 лет назад

Cockpit (and its plugins) do not seem to protect itself against clickjacking. It is possible to render a page from a cockpit server via another website, inside an <iFrame> HTML entry. This may be used by a malicious website in clickjacking or similar attacks.

redhat логотип

CVE-2021-3660

CVSS3: 4.3
redhat
около 4 лет назад

Cockpit (and its plugins) do not seem to protect itself against clickjacking. It is possible to render a page from a cockpit server via another website, inside an <iFrame> HTML entry. This may be used by a malicious website in clickjacking or similar attacks.

nvd логотип

CVE-2021-3660

CVSS3: 4.3
nvd
больше 3 лет назад

Cockpit (and its plugins) do not seem to protect itself against clickjacking. It is possible to render a page from a cockpit server via another website, inside an <iFrame> HTML entry. This may be used by a malicious website in clickjacking or similar attacks.

msrc логотип

CVE-2021-3660

CVSS3: 4.3
msrc
больше 3 лет назад

Описание отсутствует

debian логотип

CVE-2021-3660

CVSS3: 4.3
debian
больше 3 лет назад

Cockpit (and its plugins) do not seem to protect itself against clickj ...

EPSS

Процентиль: 49%
0.00256
Низкий

4.3 Medium

CVSS3

5 Medium

CVSS2