Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07825

Опубликовано: 12 авг. 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость веб-приложения для управления проектами и задачами Redmine связана с ошибками обработки разрешений. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
Jean-Philippe Lang
АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition
Debian GNU/Linux
Astra Linux Special Edition для «Эльбрус»
Redmine
ОС ОН «Стрелец»

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
до 4.0.8 (Redmine)
от 4.1.0 до 4.1.2 (Redmine)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Для Redmine:
использование рекомендаций производителя: https://www.redmine.org/projects/redmine/repository/revisions/19975
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-30164
Для ОС Astra Linux:
обновить пакет redmine до 3.3.1-4+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения redmine до версии 3.3.1-4+deb9u5
Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет redmine до 3.3.1-4+deb9u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 43%
0.00209
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-30164

CVSS3: 9.8
ubuntu
почти 5 лет назад

Redmine before 4.0.8 and 4.1.x before 4.1.2 allows attackers to bypass the add_issue_notes permission requirement by leveraging the Issues API.

nvd логотип

CVE-2021-30164

CVSS3: 9.8
nvd
почти 5 лет назад

Redmine before 4.0.8 and 4.1.x before 4.1.2 allows attackers to bypass the add_issue_notes permission requirement by leveraging the Issues API.

debian логотип

CVE-2021-30164

CVSS3: 9.8
debian
почти 5 лет назад

Redmine before 4.0.8 and 4.1.x before 4.1.2 allows attackers to bypass ...

github логотип

GHSA-8c7v-26g9-8vwr

github
больше 3 лет назад

Redmine before 4.0.8 and 4.1.x before 4.1.2 allows attackers to bypass the add_issue_notes permission requirement by leveraging the Issues API.

EPSS

Процентиль: 43%
0.00209
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2