Описание
Уязвимость библиотеки .NET Dynamic Linq связана с использованием неполного чёрного списка. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор
ZZZ Projects
Наименование ПО
Dynamic LINQ
Версия ПО
до 1.3.0 (Dynamic LINQ)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://research.nccgroup.com/2023/06/13/dynamic-linq-injection-remote-code-execution-vulnerability-cve-2023-32571/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 99%
0.77786
Высокий
9.1 Critical
CVSS3
9.4 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
nvd
больше 2 лет назад
Dynamic Linq 1.0.7.10 through 1.2.25 before 1.3.0 allows attackers to execute arbitrary code and commands when untrusted input to methods including Where, Select, OrderBy is parsed.
CVSS3: 9.8
github
больше 2 лет назад
Dynamic Linq vulnerable to remote code execution
EPSS
Процентиль: 99%
0.77786
Высокий
9.1 Critical
CVSS3
9.4 Critical
CVSS2