Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-01722

Опубликовано: 15 июн. 2017
Источник: fstec
CVSS3: 2.5
CVSS2: 1
EPSS Низкий

Описание

Уязвимость пакета chownr программной платформы Node.js связана с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»). Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к произвольным каталогам

Вендор

Сообщество свободного программного обеспечения
Red Hat Inc.
NPM, Inc.

Наименование ПО

Debian GNU/Linux
Red Hat Software Collections
chownr

Версия ПО

10 (Debian GNU/Linux)
- (Red Hat Software Collections)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
до 1.1.0 (chownr)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 1)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 2,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для chownr:
https://github.com/isaacs/chownr/issues/14
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2017-18869
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2017-18869

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 31%
0.00115
Низкий

2.5 Low

CVSS3

1 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-18869

CVSS3: 2.5
ubuntu
больше 5 лет назад

A TOCTOU issue in the chownr package before 1.1.0 for Node.js 10.10 could allow a local attacker to trick it into descending into unintended directories via symlink attacks.

redhat логотип

CVE-2017-18869

CVSS3: 7.7
redhat
больше 7 лет назад

A TOCTOU issue in the chownr package before 1.1.0 for Node.js 10.10 could allow a local attacker to trick it into descending into unintended directories via symlink attacks.

nvd логотип

CVE-2017-18869

CVSS3: 2.5
nvd
больше 5 лет назад

A TOCTOU issue in the chownr package before 1.1.0 for Node.js 10.10 could allow a local attacker to trick it into descending into unintended directories via symlink attacks.

debian логотип

CVE-2017-18869

CVSS3: 2.5
debian
больше 5 лет назад

A TOCTOU issue in the chownr package before 1.1.0 for Node.js 10.10 co ...

github логотип

GHSA-c6rq-rjc2-86v2

CVSS3: 2.5
github
почти 4 года назад

Time-of-check Time-of-use (TOCTOU) Race Condition in chownr

EPSS

Процентиль: 31%
0.00115
Низкий

2.5 Low

CVSS3

1 Low

CVSS2