Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-05423

Опубликовано: 25 окт. 2020
Источник: fstec
CVSS3: 7.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость пакета datatables.net библиотеки DataTables связана с недостаточным контролем модификации динамически определённых характеристик объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании

Вендор

Red Hat Inc.
IBM Corp.
Phpzag

Наименование ПО

Red Hat Virtualization Engine
Red Hat Virtualization
IBM Spectrum Protect Plus
DataTables

Версия ПО

4.4 (Red Hat Virtualization Engine)
4 for RHEL 8 (Red Hat Virtualization)
от 10.1.0 до 10.1.8 (IBM Spectrum Protect Plus)
до 1.10.22 (DataTables)

Тип ПО

ПО виртуализации/ПО виртуального программно-аппаратного средства
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для DataTables:
https://github.com/DataTables/DataTablesSrc/commit/a51cbe99fd3d02aa5582f97d4af1615d11a1ea03
https://github.com/418sec/huntr/pull/827
https://datatables.net/
Для IBM Spectrum Protect Plus:
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-in-apache-and-node-js-affect-ibm-spectrum-protect-plus/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-28458

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 79%
0.01228
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2020-28458

CVSS3: 7.3
redhat
больше 5 лет назад

All versions of package datatables.net are vulnerable to Prototype Pollution due to an incomplete fix for https://snyk.io/vuln/SNYK-JS-DATATABLESNET-598806.

nvd логотип

CVE-2020-28458

CVSS3: 7.3
nvd
около 5 лет назад

All versions of package datatables.net are vulnerable to Prototype Pollution due to an incomplete fix for https://snyk.io/vuln/SNYK-JS-DATATABLESNET-598806.

msrc логотип

CVE-2020-28458

CVSS3: 7.3
msrc
около 1 года назад

Описание отсутствует

github логотип

GHSA-m7j4-fhg6-xf5v

CVSS3: 7.3
github
около 5 лет назад

datatables.net vulnerable to Prototype Pollution due to incomplete fix

EPSS

Процентиль: 79%
0.01228
Низкий

7.3 High

CVSS3

7.5 High

CVSS2