Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-06176

Опубликовано: 06 сент. 2021
Источник: fstec
CVSS3: 5.3
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость функции ZipArchive::extractTo интерпретатора PHP существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, создать или перезаписать файлы

Вендор

Novell Inc.
PHP Group
АО «ИВК»
АО "НППКТ"

Наименование ПО

openSUSE Tumbleweed
PHP
Альт 8 СП
ОСОН ОСнова Оnyx

Версия ПО

- (openSUSE Tumbleweed)
от 7.3.0 до 7.3.31 (PHP)
от 7.4.0 до 7.4.24 (PHP)
от 8.0.0 до 8.0.11 (PHP)
- (Альт 8 СП)
до 2.6 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Microsoft Corp. Windows -
АО «ИВК» Альт 8 СП -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для PHP:
https://bugs.php.net/bug.php?id=81420
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-21706.html
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения php7.3 до версии 7.3.31-1~deb10u1osnovau3
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 72%
0.00749
Низкий

5.3 Medium

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-21706

CVSS3: 5.3
ubuntu
больше 3 лет назад

In PHP versions 7.3.x below 7.3.31, 7.4.x below 7.4.24 and 8.0.x below 8.0.11, in Microsoft Windows environment, ZipArchive::extractTo may be tricked into writing a file outside target directory when extracting a ZIP file, thus potentially causing files to be created or overwritten, subject to OS permissions.

nvd логотип

CVE-2021-21706

CVSS3: 5.3
nvd
больше 3 лет назад

In PHP versions 7.3.x below 7.3.31, 7.4.x below 7.4.24 and 8.0.x below 8.0.11, in Microsoft Windows environment, ZipArchive::extractTo may be tricked into writing a file outside target directory when extracting a ZIP file, thus potentially causing files to be created or overwritten, subject to OS permissions.

debian логотип

CVE-2021-21706

CVSS3: 5.3
debian
больше 3 лет назад

In PHP versions 7.3.x below 7.3.31, 7.4.x below 7.4.24 and 8.0.x below ...

github логотип

GHSA-x4g4-47f7-vvq4

github
около 3 лет назад

In PHP versions 7.3.x below 7.3.31, 7.4.x below 7.4.24 and 8.0.x below 8.0.11, in Microsoft Windows environment, ZipArchive::extractTo may be tricked into writing a file outside target directory when extracting a ZIP file, thus potentially causing files to be created or overwritten, subject to OS permissions.

suse-cvrf логотип

SUSE-SU-2022:4069-1

suse-cvrf
больше 2 лет назад

Security update for php7

EPSS

Процентиль: 72%
0.00749
Низкий

5.3 Medium

CVSS3

7.1 High

CVSS2

Уязвимость BDU:2021-06176