Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04892

Опубликовано: 20 июн. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции process.mainModule.proto.require() программной платформы Node.js, связана с ошибками авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на целостность защищаемой информации

Вендор

Red Hat Inc.
Node.js Foundation
АО «ИВК»

Наименование ПО

Red Hat Enterprise Linux
Red Hat Software Collections
Node.js
АЛЬТ СП 10

Версия ПО

8 (Red Hat Enterprise Linux)
- (Red Hat Software Collections)
9 (Red Hat Enterprise Linux)
от 16.0.0 до 16.20.1 (Node.js)
от 18.0.0 до 18.16.1 (Node.js)
от 20.0.0 до 20.3.1 (Node.js)
- (АЛЬТ СП 10)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Red Hat Inc. Red Hat Enterprise Linux 9
АО «ИВК» АЛЬТ СП 10 -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Node.js:
https://nodejs.org/en/blog/vulnerability/june-2023-security-releases
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-30581
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 1%
0.00012
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-30581

CVSS3: 7.5
ubuntu
больше 1 года назад

The use of __proto__ in process.mainModule.__proto__.require() can bypass the policy mechanism and require modules outside of the policy.json definition. This vulnerability affects all users using the experimental policy mechanism in all active release lines: v16, v18 and, v20. Please note that at the time this CVE was issued, the policy is an experimental feature of Node.js

redhat логотип

CVE-2023-30581

CVSS3: 7.5
redhat
почти 2 года назад

The use of __proto__ in process.mainModule.__proto__.require() can bypass the policy mechanism and require modules outside of the policy.json definition. This vulnerability affects all users using the experimental policy mechanism in all active release lines: v16, v18 and, v20. Please note that at the time this CVE was issued, the policy is an experimental feature of Node.js

nvd логотип

CVE-2023-30581

CVSS3: 7.5
nvd
больше 1 года назад

The use of __proto__ in process.mainModule.__proto__.require() can bypass the policy mechanism and require modules outside of the policy.json definition. This vulnerability affects all users using the experimental policy mechanism in all active release lines: v16, v18 and, v20. Please note that at the time this CVE was issued, the policy is an experimental feature of Node.js

debian логотип

CVE-2023-30581

CVSS3: 7.5
debian
больше 1 года назад

The use of __proto__ in process.mainModule.__proto__.require() can byp ...

github логотип

GHSA-86v4-9wq7-fx97

CVSS3: 7.5
github
больше 1 года назад

The use of __proto__ in process.mainModule.__proto__.require() can bypass the policy mechanism and require modules outside of the policy.json definition. This vulnerability affects all users using the experimental policy mechanism in all active release lines: v16, v18 and, v20. Please note that at the time this CVE was issued, the policy is an experimental feature of Node.js

EPSS

Процентиль: 1%
0.00012
Низкий

7.5 High

CVSS3

7.8 High

CVSS2