Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02114

Опубликовано: 29 дек. 2023
Источник: fstec
CVSS3: 7.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость функции url.parse() модуля Node.js follow-redirects связана с переадресацией URL на ненадежный сайт. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить фишинг-атаки

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Fedora Project
Elastic NV

Наименование ПО

Jboss Fuse
Debian GNU/Linux
JBoss Data Grid
Red Hat Quay
Red Hat Process Automation
Red Hat Integration Camel K
Red Hat Integration Service Registry
Openshift Service Mesh
Red Hat Data Grid
Red Hat Openshift Data Foundation
Red Hat Advanced Cluster Management for Kubernetes
Red Hat OpenShift GitOps
Red Hat OpenShift Container Platform
Red Hat Migration Toolkit for Containers
Decision Manager
Fedora
Red Hat OpenShift Data Science (RHODS)
Node HealthCheck Operator
Migration Toolkit for Virtualization
Red Hat OpenShift Virtualization
Red Hat Discovery
Cryostat
Red Hat build of OptaPlanner
Red Hat Advanced Cluster Security
Red Hat OpenShift Dev Spaces
OpenShift Pipelines
Red Hat Developer Hub
Migration Toolkit for Applications
Migration Toolkit for Runtimes
Network Observability Operator
Red Hat OpenShift distributed tracing
follow-redirects
Kibana

Версия ПО

7 (Jboss Fuse)
10 (Debian GNU/Linux)
7 (JBoss Data Grid)
3 (Red Hat Quay)
7 (Red Hat Process Automation)
- (Red Hat Integration Camel K)
- (Red Hat Integration Service Registry)
2 (Openshift Service Mesh)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
8 (Red Hat Data Grid)
4 (Red Hat Openshift Data Foundation)
2 (Red Hat Advanced Cluster Management for Kubernetes)
- (Red Hat OpenShift GitOps)
4 (Red Hat OpenShift Container Platform)
- (Red Hat Migration Toolkit for Containers)
7 (Decision Manager)
39 (Fedora)
- (Red Hat OpenShift Data Science (RHODS))
- (Node HealthCheck Operator)
- (Migration Toolkit for Virtualization)
4 (Red Hat OpenShift Virtualization)
- (Red Hat Discovery)
2 (Cryostat)
8 (Red Hat build of OptaPlanner)
3 (Red Hat Advanced Cluster Security)
- (Red Hat OpenShift Dev Spaces)
- (OpenShift Pipelines)
4 (Red Hat Advanced Cluster Security)
- (Red Hat Developer Hub)
6.2 for RHEL 8 (Migration Toolkit for Applications)
6.2 for RHEL 9 (Migration Toolkit for Applications)
1.2.4 (Migration Toolkit for Runtimes)
1.5.0 for RHEL 9 (Network Observability Operator)
4.15 (Red Hat OpenShift Container Platform)
3.1 (Red Hat OpenShift distributed tracing)
до 1.15.4 (follow-redirects)
7.17.18 (Kibana)

Тип ПО

Прикладное ПО информационных систем
Операционная система
Сетевое средство
ПО виртуализации/ПО виртуального программно-аппаратного средства
ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Fedora Project Fedora 39

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для follow-redirects:
https://github.com/follow-redirects/follow-redirects/issues/235
https://github.com/follow-redirects/follow-redirects/pull/236
https://github.com/follow-redirects/follow-redirects/commit/1cba8e85fa73f563a439fe460cf028688e4358df
https://github.com/follow-redirects/follow-redirects/commit/05629af696588b90d64e738bc2e809a97a5f92fc
https://github.com/follow-redirects/follow-redirects/commit/7a6567e16dfa9ad18a70bfe91784c28653fbf19d
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-26159
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-26159
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZZ425BFKNBQ6AK7I5SAM56TWON5OF2XM/
Компенсирующие меры для kibana:
- блокирование неиспользуемых учетных записей пользователей;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- сегментирование сети для ограничения возможности доступа к промышленному сегменту из других подсетей;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 28%
0.00101
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-26159

CVSS3: 7.3
ubuntu
около 2 лет назад

Versions of the package follow-redirects before 1.15.4 are vulnerable to Improper Input Validation due to the improper handling of URLs by the url.parse() function. When new URL() throws an error, it can be manipulated to misinterpret the hostname. An attacker could exploit this weakness to redirect traffic to a malicious site, potentially leading to information disclosure, phishing attacks, or other security breaches.

redhat логотип

CVE-2023-26159

CVSS3: 6.1
redhat
около 2 лет назад

Versions of the package follow-redirects before 1.15.4 are vulnerable to Improper Input Validation due to the improper handling of URLs by the url.parse() function. When new URL() throws an error, it can be manipulated to misinterpret the hostname. An attacker could exploit this weakness to redirect traffic to a malicious site, potentially leading to information disclosure, phishing attacks, or other security breaches.

nvd логотип

CVE-2023-26159

CVSS3: 7.3
nvd
около 2 лет назад

Versions of the package follow-redirects before 1.15.4 are vulnerable to Improper Input Validation due to the improper handling of URLs by the url.parse() function. When new URL() throws an error, it can be manipulated to misinterpret the hostname. An attacker could exploit this weakness to redirect traffic to a malicious site, potentially leading to information disclosure, phishing attacks, or other security breaches.

msrc логотип

CVE-2023-26159

CVSS3: 6.1
msrc
около 2 лет назад

Описание отсутствует

debian логотип

CVE-2023-26159

CVSS3: 7.3
debian
около 2 лет назад

Versions of the package follow-redirects before 1.15.4 are vulnerable ...

EPSS

Процентиль: 28%
0.00101
Низкий

7.3 High

CVSS3

7.5 High

CVSS2