Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04701

Опубликовано: 11 мар. 2021
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость функции filesystem.renamer() бинарной программы чтения новостей SABnzbd связана с ошибками в обработке относительного пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных с помощью вредоносного PAR2 файла

Вендор

Сообщество свободного программного обеспечения
The SABnzbd-team

Наименование ПО

Debian GNU/Linux
SABnzbd

Версия ПО

9 (Debian GNU/Linux)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
до 3.2.1 (SABnzbd)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Для SABnzbd:
использование рекомендаций производителя: https://github.com/sabnzbd/sabnzbd/security/advisories/GHSA-jwj3-wrvf-v3rp
Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-29488

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 55%
0.0032
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-29488

CVSS3: 4.3
ubuntu
больше 4 лет назад

SABnzbd is an open source binary newsreader. A vulnerability was discovered in SABnzbd that could trick the `filesystem.renamer()` function into writing downloaded files outside the configured Download Folder via malicious PAR2 files. A patch was released as part of SABnzbd 3.2.1RC1. As a workaround, limit downloads to NZBs without PAR2 files, deny write permissions to the SABnzbd process outside areas it must access to perform its job, or update to a fixed version.

nvd логотип

CVE-2021-29488

CVSS3: 4.3
nvd
больше 4 лет назад

SABnzbd is an open source binary newsreader. A vulnerability was discovered in SABnzbd that could trick the `filesystem.renamer()` function into writing downloaded files outside the configured Download Folder via malicious PAR2 files. A patch was released as part of SABnzbd 3.2.1RC1. As a workaround, limit downloads to NZBs without PAR2 files, deny write permissions to the SABnzbd process outside areas it must access to perform its job, or update to a fixed version.

debian логотип

CVE-2021-29488

CVSS3: 4.3
debian
больше 4 лет назад

SABnzbd is an open source binary newsreader. A vulnerability was disco ...

EPSS

Процентиль: 55%
0.0032
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2