Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-00467

Опубликовано: 02 июн. 2019
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость поисковой системы Sphinx связана с ошибкой обхода пути. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации с помощью оператора CALL SNIPPETS или функции load_file()

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
Sphinx Technologies Inc.

Наименование ПО

Debian GNU/Linux
РЕД ОС
Sphinx

Версия ПО

10 (Debian GNU/Linux)
7.3 (РЕД ОС)
до 3.1.1 включительно (Sphinx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Sphinx:
https://github.com/manticoresoftware/manticoresearch/commit/6e597ff61e1e910559f6ed541ff32520085af6aa
https://salsa.debian.org/debian/sphinxsearch/-/blob/4d6fe40644130308604845db43d3588e715ec85d/debian/patches/06-CVE-2020-29050.patch
https://github.com/manticoresoftware/manticoresearch/commit/66b5761ad258c60b1866a8e1333f86e74f48035
Для Debian:
https://www.debian.org/security/2022/dsa-5036
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 68%
0.0059
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20240626-12

CVSS3: 9.1
redos
около 1 года назад

Уязвимость sphinx

ubuntu логотип

CVE-2020-29050

CVSS3: 7.5
ubuntu
больше 3 лет назад

SphinxSearch in Sphinx Technologies Sphinx through 3.1.1 allows directory traversal (in conjunction with CVE-2019-14511) because the mysql client can be used for CALL SNIPPETS and load_file operations on a full pathname (e.g., a file in the /etc directory). NOTE: this is unrelated to CMUSphinx.

nvd логотип

CVE-2020-29050

CVSS3: 7.5
nvd
больше 3 лет назад

SphinxSearch in Sphinx Technologies Sphinx through 3.1.1 allows directory traversal (in conjunction with CVE-2019-14511) because the mysql client can be used for CALL SNIPPETS and load_file operations on a full pathname (e.g., a file in the /etc directory). NOTE: this is unrelated to CMUSphinx.

debian логотип

CVE-2020-29050

CVSS3: 7.5
debian
больше 3 лет назад

SphinxSearch in Sphinx Technologies Sphinx through 3.1.1 allows direct ...

suse-cvrf логотип

openSUSE-SU-2022:0054-1

suse-cvrf
больше 3 лет назад

Security update for sphinx

EPSS

Процентиль: 68%
0.0059
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2