Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01835

Опубликовано: 28 мар. 2023
Источник: fstec
CVSS3: 8.2
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость набора средств разработки для JavaScript и TypeScript matrix-js-sdk связана с неконтролируемым изменением атрибутов прототипа объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально созданных входных данных

Вендор

Novell Inc.
АО «ИВК»
Matrix.org team
Mozilla Corp.
АО "НППКТ"

Наименование ПО

OpenSUSE Leap
Suse Linux Enterprise Server
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Desktop
Альт 8 СП
matrix-js-sdk
Thunderbird
ОСОН ОСнова Оnyx

Версия ПО

15.4 (OpenSUSE Leap)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (Suse Linux Enterprise Server)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
- (Альт 8 СП)
15 SP4 (Suse Linux Enterprise Server)
15 SP2 (Suse Linux Enterprise Desktop)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Server)
15 SP5 (Suse Linux Enterprise Desktop)
до 24.0.0 (matrix-js-sdk)
до 102.9.1 (Thunderbird)
до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Сетевое средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. OpenSUSE Leap 15.4
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. Suse Linux Enterprise Server 15 SP2
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
АО «ИВК» Альт 8 СП -
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP2
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP5
Novell Inc. Suse Linux Enterprise Desktop 15 SP5
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для matrix-js-sdk:
https://github.com/advisories/GHSA-mwq8-fjpf-c2gr
https://matrix.org/blog/2023/03/28/security-releases-matrix-js-sdk-24-0-0-and-matrix-react-sdk-3-69-0
Для Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2023-12/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-28427.html
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения thunderbird до версии 1:102.13.1+repack-1~deb10u1.osnova1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 50%
0.00272
Низкий

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-28427

CVSS3: 8.2
ubuntu
около 2 лет назад

matrix-js-sdk is a Matrix messaging protocol Client-Server SDK for JavaScript. In versions prior to 24.0.0 events sent with special strings in key places can temporarily disrupt or impede the matrix-js-sdk from functioning properly, potentially impacting the consumer's ability to process data safely. Note that the matrix-js-sdk can appear to be operating normally but be excluding or corrupting runtime data presented to the consumer. This vulnerability is distinct from GHSA-rfv9-x7hh-xc32 which covers a similar issue. The issue has been patched in matrix-js-sdk 24.0.0 and users are advised to upgrade. There are no known workarounds for this vulnerability.

redhat логотип

CVE-2023-28427

CVSS3: 7.5
redhat
около 2 лет назад

matrix-js-sdk is a Matrix messaging protocol Client-Server SDK for JavaScript. In versions prior to 24.0.0 events sent with special strings in key places can temporarily disrupt or impede the matrix-js-sdk from functioning properly, potentially impacting the consumer's ability to process data safely. Note that the matrix-js-sdk can appear to be operating normally but be excluding or corrupting runtime data presented to the consumer. This vulnerability is distinct from GHSA-rfv9-x7hh-xc32 which covers a similar issue. The issue has been patched in matrix-js-sdk 24.0.0 and users are advised to upgrade. There are no known workarounds for this vulnerability.

nvd логотип

CVE-2023-28427

CVSS3: 8.2
nvd
около 2 лет назад

matrix-js-sdk is a Matrix messaging protocol Client-Server SDK for JavaScript. In versions prior to 24.0.0 events sent with special strings in key places can temporarily disrupt or impede the matrix-js-sdk from functioning properly, potentially impacting the consumer's ability to process data safely. Note that the matrix-js-sdk can appear to be operating normally but be excluding or corrupting runtime data presented to the consumer. This vulnerability is distinct from GHSA-rfv9-x7hh-xc32 which covers a similar issue. The issue has been patched in matrix-js-sdk 24.0.0 and users are advised to upgrade. There are no known workarounds for this vulnerability.

debian логотип

CVE-2023-28427

CVSS3: 8.2
debian
около 2 лет назад

matrix-js-sdk is a Matrix messaging protocol Client-Server SDK for Jav ...

github логотип

GHSA-mwq8-fjpf-c2gr

CVSS3: 8.2
github
около 2 лет назад

Prototype pollution in matrix-js-sdk (part 2)

EPSS

Процентиль: 50%
0.00272
Низкий

8.2 High

CVSS3

8.5 High

CVSS2