BDU:2023-04383

Опубликовано: 24 июл. 2023

Источник: fstec

CVSS3: 10

CVSS2: 10

EPSS Низкий

Описание

Уязвимость программного обеспечение для форумов NodeBB Forum существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

NodeBB

Наименование ПО

NodeBB Forum

Версия ПО

от 2.5.0 до 2.8.7 (NodeBB Forum)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до версии 2.8.7

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-26045
CVE

EPSS

Процентиль: 53%

0.00304

Низкий

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-26045

CVSS3: 10

nvd

больше 2 лет назад

NodeBB is Node.js based forum software. Starting in version 2.5.0 and prior to version 2.8.7, due to the use of the object destructuring assignment syntax in the user export code path, combined with a path traversal vulnerability, a specially crafted payload could invoke the user export logic to arbitrarily execute javascript files on the local disk. This issue is patched in version 2.8.7. As a workaround, site maintainers can cherry pick the fix into their codebase to patch the exploit.

GHSA-vh2g-6c4x-5hmp

CVSS3: 10

github

больше 2 лет назад

Path traversal and code execution via prototype vulnerability

EPSS

Процентиль: 53%

0.00304

Низкий

10 Critical

CVSS3

10 Critical

CVSS2