Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05172

Опубликовано: 01 июл. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость пакета Tough-cookie программной платформы Node.js связана с недостаточным контролем модификации динамически определённых характеристик объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код JavaScript

Вендор

Сообщество свободного программного обеспечения
Node.js Foundation
Wazuh, Inc
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
Node.js
Wazuh
ОСОН ОСнова Оnyx

Версия ПО

10 (Debian GNU/Linux)
до 4.1.3 (Node.js)
4.4.5 (Wazuh)
до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Node.js:
https://github.com/salesforce/tough-cookie/commit/12d474791bb856004e858fdb1c47b7608d09cf6e
ttps://github.com/salesforce/tough-cookie/issues/282
https://github.com/salesforce/tough-cookie/releases/tag/v4.1.3
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/07/msg00010.html
Компенсирующие меры для Wazuh:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения node-tough-cookie до версии 2.3.4+dfsg-1+deb10u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 89%
0.05191
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20240704-07

CVSS3: 9.8
redos
12 месяцев назад

Множественные уязвимости opensearch-dashboards

ubuntu логотип

CVE-2023-26136

CVSS3: 6.5
ubuntu
почти 2 года назад

Versions of the package tough-cookie before 4.1.3 are vulnerable to Prototype Pollution due to improper handling of Cookies when using CookieJar in rejectPublicSuffixes=false mode. This issue arises from the manner in which the objects are initialized.

redhat логотип

CVE-2023-26136

CVSS3: 6.5
redhat
почти 2 года назад

Versions of the package tough-cookie before 4.1.3 are vulnerable to Prototype Pollution due to improper handling of Cookies when using CookieJar in rejectPublicSuffixes=false mode. This issue arises from the manner in which the objects are initialized.

nvd логотип

CVE-2023-26136

CVSS3: 6.5
nvd
почти 2 года назад

Versions of the package tough-cookie before 4.1.3 are vulnerable to Prototype Pollution due to improper handling of Cookies when using CookieJar in rejectPublicSuffixes=false mode. This issue arises from the manner in which the objects are initialized.

debian логотип

CVE-2023-26136

CVSS3: 6.5
debian
почти 2 года назад

Versions of the package tough-cookie before 4.1.3 are vulnerable to Pr ...

EPSS

Процентиль: 89%
0.05191
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2