Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-01409

Опубликовано: 22 фев. 2018
Источник: fstec
CVSS3: 7.8
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость компонента correctMkdir пакетного менеджера npm связана с неправильным присвоением разрешений для критичного ресурса. Эксплуатация уязвимости может позволить нарушителю обойти существующие ограничения безопасности

Вендор

Сообщество свободного программного обеспечения
Node.js Foundation

Наименование ПО

Debian GNU/Linux
npm

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
5.7.0 (npm)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для npm:
http://blog.npmjs.org/post/171169301000/v571
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2018-7408

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 13%
0.00042
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-7408

CVSS3: 7.8
ubuntu
почти 8 лет назад

An issue was discovered in an npm 5.7.0 2018-02-21 pre-release (marked as "next: 5.7.0" and therefore automatically installed by an "npm upgrade -g npm" command, and also announced in the vendor's blog without mention of pre-release status). It might allow local users to bypass intended filesystem access restrictions because ownerships of /etc and /usr directories are being changed unexpectedly, related to a "correctMkdir" issue.

nvd логотип

CVE-2018-7408

CVSS3: 7.8
nvd
почти 8 лет назад

An issue was discovered in an npm 5.7.0 2018-02-21 pre-release (marked as "next: 5.7.0" and therefore automatically installed by an "npm upgrade -g npm" command, and also announced in the vendor's blog without mention of pre-release status). It might allow local users to bypass intended filesystem access restrictions because ownerships of /etc and /usr directories are being changed unexpectedly, related to a "correctMkdir" issue.

debian логотип

CVE-2018-7408

CVSS3: 7.8
debian
почти 8 лет назад

An issue was discovered in an npm 5.7.0 2018-02-21 pre-release (marked ...

github логотип

GHSA-ph34-pc88-72gc

CVSS3: 7.8
github
больше 3 лет назад

Incorrect Permission Assignment for Critical Resource in NPM

EPSS

Процентиль: 13%
0.00042
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2