Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-09145

Опубликовано: 31 авг. 2023
Источник: fstec
CVSS3: 7.8
CVSS2: 7.2
EPSS Средний

Описание

Уязвимость программного средства для просмотра электронных документов Xreader связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путем открытия пользователем специально сформированого EPUB или CBT-файла

Вендор

ООО «Ред Софт»
Сообщество свободного программного обеспечения

Наименование ПО

РЕД ОС
Xreader

Версия ПО

7.3 (РЕД ОС)
до 4.0.0 (Xreader)
до 3.8.5 (Xreader)
до 3.6.6 (Xreader)
до 3.2.3 (Xreader)
до 2.6.5 (Xreader)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- минимизация пользовательских привилегий;
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников перед их открытием.
Использование рекомендаций производителя:
Для Xreader:
https://github.com/linuxmint/xreader/commit/141f1313745b9cc73670df51ac145165efcbb14a
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.2834
Средний

7.8 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20240418-05

CVSS3: 7.8
redos
около 1 года назад

Множественные уязвимости xreader

nvd логотип

CVE-2023-44451

CVSS3: 7.8
nvd
около 1 года назад

Linux Mint Xreader EPUB File Parsing Directory Traversal Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Linux Mint Xreader. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the parsing of EPUB files. The issue results from the lack of proper validation of a user-supplied path prior to using it in file operations. An attacker can leverage this vulnerability to execute code in the context of the current user. Was ZDI-CAN-21897.

github логотип

GHSA-6p7r-9243-f28g

CVSS3: 7.8
github
около 1 года назад

Linux Mint Xreader EPUB File Parsing Directory Traversal Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Linux Mint Xreader. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the parsing of EPUB files. The issue results from the lack of proper validation of a user-supplied path prior to using it in file operations. An attacker can leverage this vulnerability to execute code in the context of the current user. Was ZDI-CAN-21897.

EPSS

Процентиль: 96%
0.2834
Средний

7.8 High

CVSS3

7.2 High

CVSS2