BDU:2023-03893

Опубликовано: 11 июл. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость фреймворка Orchid Platform связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Orchid Platform

Версия ПО

от 14.0.1 до 14.5.0 (Orchid Platform)

14.0.0 (Orchid Platform)

14.0.0 alpha4 (Orchid Platform)

14.0.0 alpha5 (Orchid Platform)

14.0.0 alpha6 (Orchid Platform)

14.0.0 alpha7 (Orchid Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/orchidsoftware/platform/security/advisories/GHSA-ph6g-p72v-pc3p

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-36825
CVE

EPSS

Процентиль: 90%

0.05411

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-36825

CVSS3: 9.6

nvd

больше 2 лет назад

Orchid is a Laravel package that allows application development of back-office applications, admin/user panels, and dashboards. A vulnerability present starting in version 14.0.0-alpha4 and prior to version 14.5.0 is related to the deserialization of untrusted data from the `_state` query parameter, which can result in remote code execution. The issue has been addressed in version 14.5.0. Users are advised to upgrade their software to this version or any subsequent versions that include the patch. There are no known workarounds.

GHSA-ph6g-p72v-pc3p