Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-06589

Опубликовано: 17 июл. 2023
Источник: fstec
CVSS3: 7.8
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость программного средства извлечения и очистки табличных данных OpenRefine связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально созданного tar-файла

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

OpenRefine

Версия ПО

до 3.7.3 включительно (OpenRefine)

Тип ПО

ПО для разработки ИИ

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/OpenRefine/OpenRefine/commit/e9c1e65d58b47aec8cd676bd5c07d97b002f205e
https://github.com/OpenRefine/OpenRefine/releases/tag/3.7.4

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 31%
0.00116
Низкий

7.8 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-37476

CVSS3: 5.5
ubuntu
больше 2 лет назад

OpenRefine is a free, open source tool for data processing. A carefully crafted malicious OpenRefine project tar file can be used to trigger arbitrary code execution in the context of the OpenRefine process if a user can be convinced to import it. The vulnerability exists in all versions of OpenRefine up to and including 3.7.3. Users should update to OpenRefine 3.7.4 as soon as possible. Users unable to upgrade should only import OpenRefine projects from trusted sources.

nvd логотип

CVE-2023-37476

CVSS3: 5.5
nvd
больше 2 лет назад

OpenRefine is a free, open source tool for data processing. A carefully crafted malicious OpenRefine project tar file can be used to trigger arbitrary code execution in the context of the OpenRefine process if a user can be convinced to import it. The vulnerability exists in all versions of OpenRefine up to and including 3.7.3. Users should update to OpenRefine 3.7.4 as soon as possible. Users unable to upgrade should only import OpenRefine projects from trusted sources.

debian логотип

CVE-2023-37476

CVSS3: 5.5
debian
больше 2 лет назад

OpenRefine is a free, open source tool for data processing. A carefull ...

github логотип

GHSA-m88m-crr9-jvqq

CVSS3: 5.5
github
больше 2 лет назад

OpenRefine vulnerable to zip slip in project import

EPSS

Процентиль: 31%
0.00116
Низкий

7.8 High

CVSS3

7.2 High

CVSS2