Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03176

Опубликовано: 05 апр. 2023
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость программного средства для конвертации XML-объектов в JavaScript xml2js связана с неконтролируемым изменением атрибутов прототипа объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, редактировать свойства объекта proto

Вендор

ООО «Юбитех»
Сообщество свободного программного обеспечения
Wazuh, Inc

Наименование ПО

UBLinux
xml2js
Wazuh

Версия ПО

до 2204 (UBLinux)
до 0.5.0 (xml2js)
4.4.5 (Wazuh)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Юбитех» UBLinux до 2204

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений
Использование рекомендаций:
Для xml2js:
Обновление программного обеспечения до версии 0.5.0 и выше
Для UBLinux:
https://security.ublinux.ru/AVG-61

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 46%
0.00231
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-0842

CVSS3: 5.3
ubuntu
почти 3 года назад

xml2js version 0.4.23 allows an external attacker to edit or add new properties to an object. This is possible because the application does not properly validate incoming JSON keys, thus allowing the __proto__ property to be edited.

redhat логотип

CVE-2023-0842

CVSS3: 5.3
redhat
почти 3 года назад

xml2js version 0.4.23 allows an external attacker to edit or add new properties to an object. This is possible because the application does not properly validate incoming JSON keys, thus allowing the __proto__ property to be edited.

nvd логотип

CVE-2023-0842

CVSS3: 5.3
nvd
почти 3 года назад

xml2js version 0.4.23 allows an external attacker to edit or add new properties to an object. This is possible because the application does not properly validate incoming JSON keys, thus allowing the __proto__ property to be edited.

debian логотип

CVE-2023-0842

CVSS3: 5.3
debian
почти 3 года назад

xml2js version 0.4.23 allows an external attacker to edit or add new p ...

github логотип

GHSA-776f-qx25-q3cc

CVSS3: 5.3
github
почти 3 года назад

xml2js is vulnerable to prototype pollution

EPSS

Процентиль: 46%
0.00231
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2