Описание
Уязвимость приложения для проверки и тестирования JSON-файлов JSON Schema связана с недостаточным контролем модификации динамически определённых характеристик объекта при обработке JSON-файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор
Novell Inc.
Red Hat Inc.
ООО «Ред Софт»
Сообщество свободного программного обеспечения
Node.js Foundation
АО "НППКТ"
Наименование ПО
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
SUSE Linux Enterprise High Performance Computing
SUSE Linux Enterprise Module for Web Scripting
Red Hat Enterprise Linux
SUSE Enterprise Storage
Red Hat Software Collections
Red Hat Quay
SUSE CaaS Platform
OpenSUSE Leap
Openshift Service Mesh
РЕД ОС
SUSE Manager Proxy
SUSE Manager Server
SUSE Manager Retail Branch Server
Red Hat Advanced Cluster Management for Kubernetes
Red Hat OpenShift Container Platform
JSON Schema
Node.js
ОСОН ОСнова Оnyx
Версия ПО
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
12 (SUSE Linux Enterprise High Performance Computing)
12 (SUSE Linux Enterprise Module for Web Scripting)
8 (Red Hat Enterprise Linux)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
6 (SUSE Enterprise Storage)
- (Red Hat Software Collections)
15-ESPOS (SUSE Linux Enterprise High Performance Computing)
15-LTSS (SUSE Linux Enterprise High Performance Computing)
15-LTSS (Suse Linux Enterprise Server)
12 (SUSE Linux Enterprise Server for SAP Applications)
3 (Red Hat Quay)
4.0 (SUSE CaaS Platform)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP1-ESPOS (SUSE Linux Enterprise High Performance Computing)
15.3 (OpenSUSE Leap)
2 (Openshift Service Mesh)
12 (Suse Linux Enterprise Server)
8.4 Extended Update Support (Red Hat Enterprise Linux)
7.3 (РЕД ОС)
15.4 (OpenSUSE Leap)
15 SP3 (SUSE Linux Enterprise High Performance Computing)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
4.2 (SUSE Manager Proxy)
4.2 (SUSE Manager Server)
7 (SUSE Enterprise Storage)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
4.1 (SUSE Manager Server)
4.1 (SUSE Manager Proxy)
15 SP2-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP2-LTSS (SUSE Linux Enterprise High Performance Computing)
4.1 (SUSE Manager Retail Branch Server)
2 (Red Hat Advanced Cluster Management for Kubernetes)
4 (Red Hat OpenShift Container Platform)
15 SP2-BCL (Suse Linux Enterprise Server)
4.2 (SUSE Manager Retail Branch Server)
2.3 (Red Hat Advanced Cluster Management for Kubernetes)
2.4 (Red Hat Advanced Cluster Management for Kubernetes)
9 (Red Hat Enterprise Linux)
15 SP2-LTSS (Suse Linux Enterprise Server)
2.1.0 (Openshift Service Mesh)
7.1 (SUSE Enterprise Storage)
до 0.4.0 (JSON Schema)
2.5 (Red Hat Advanced Cluster Management for Kubernetes)
15 SP3 (SUSE Linux Enterprise Module for Web Scripting)
до 16.11.0 (Node.js)
до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Сетевое средство
Сетевое программное средство
Операционные системы и аппаратные платформы
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Novell Inc. OpenSUSE Leap 15.3
Novell Inc. Suse Linux Enterprise Server 12
Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support
ООО «Ред Софт» РЕД ОС 7.3
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для JSON Schema:
https://github.com/kriszyp/json-schema/commit/22f146111f541d9737e832823699ad3528ca7741
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-3918
Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-3918.html
Для Node.js:
https://nodejs.org/en/blog/release/v16.11.0/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения node-json-schema до версии 0.3.0+~7.0.6-1+deb11u1
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 77%
0.01116
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
ubuntu
больше 3 лет назад
json-schema is vulnerable to Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')
CVSS3: 9.8
redhat
больше 3 лет назад
json-schema is vulnerable to Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')
CVSS3: 9.8
nvd
больше 3 лет назад
json-schema is vulnerable to Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')
CVSS3: 9.8
debian
больше 3 лет назад
json-schema is vulnerable to Improperly Controlled Modification of Obj ...
EPSS
Процентиль: 77%
0.01116
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2