Описание
Уязвимость функции setObject библиотеки dojo связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор
Oracle Corp.
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
IBM Corp.
АО "НППКТ"
Наименование ПО
Primavera Unifier
WebLogic Server
Astra Linux Special Edition
Dojo
Oracle Communications Policy Management
IBM Security Guardium Key Lifecycle Manager
IBM Cloud Pak System
ОСОН ОСнова Оnyx
Версия ПО
18.8 (Primavera Unifier)
12.2.1.4.0 (WebLogic Server)
19.12 (Primavera Unifier)
от 17.7 до 17.12 включительно (Primavera Unifier)
14.1.1.0.0 (WebLogic Server)
20.12 (Primavera Unifier)
1.7 (Astra Linux Special Edition)
до 1.17.0 (Dojo)
12.6.0.0.0 (Oracle Communications Policy Management)
21.12 (Primavera Unifier)
до 4.1.1-ISS-SKLM-FP0006 (IBM Security Guardium Key Lifecycle Manager)
до 2.3.3.5 (IBM Cloud Pak System)
4.7 (Astra Linux Special Edition)
до 2.7 (ОСОН ОСнова Оnyx)
Тип ПО
Прикладное ПО информационных систем
Сетевое программное средство
Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Обновление библиотеки dojo до версии 1.17.0
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2022.html
https://www.oracle.com/security-alerts/cpuapr2022.html
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6614509
https://www.ibm.com/support/pages/node/6612587
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения dojo до версии 1.15.4+dfsg1-1+deb11u1
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 85%
0.02411
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
около 4 лет назад
All versions of package dojo are vulnerable to Prototype Pollution via the setObject function.
CVSS3: 7.5
redhat
около 4 лет назад
All versions of package dojo are vulnerable to Prototype Pollution via the setObject function.
CVSS3: 7.5
nvd
около 4 лет назад
All versions of package dojo are vulnerable to Prototype Pollution via the setObject function.
CVSS3: 7.5
debian
около 4 лет назад
All versions of package dojo are vulnerable to Prototype Pollution via ...
EPSS
Процентиль: 85%
0.02411
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2