Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02261

Опубликовано: 13 фев. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость утилиты node-ip программной платформы Node.js связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения
Red Hat Inc.
Elastic NV

Наименование ПО

Debian GNU/Linux
Red Hat 3scale API Management Platform
Openshift Service Mesh
Red Hat Openshift Data Foundation
Red Hat OpenShift GitOps
Red Hat OpenShift Data Science (RHODS)
Node HealthCheck Operator
Network Observability Operator
Migration Toolkit for Virtualization
Red Hat Discovery
Red Hat Advanced Cluster Security
Red Hat OpenShift Dev Spaces
Red Hat Developer Hub
Kibana
node-ip

Версия ПО

10 (Debian GNU/Linux)
2 (Red Hat 3scale API Management Platform)
2 (Openshift Service Mesh)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
4 (Red Hat Openshift Data Foundation)
- (Red Hat OpenShift GitOps)
- (Red Hat OpenShift Data Science (RHODS))
- (Node HealthCheck Operator)
- (Network Observability Operator)
- (Migration Toolkit for Virtualization)
- (Red Hat Discovery)
3 (Red Hat Advanced Cluster Security)
- (Red Hat OpenShift Dev Spaces)
- (Red Hat Developer Hub)
7.17.18 (Kibana)
до 1.1.8 включительно (node-ip)
2.0.0 (node-ip)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО виртуализации/ПО виртуального программно-аппаратного средства
ПО программно-аппаратного средства
Сетевое средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.
Использование рекомендаций:
Для Debian GNU/Linux.:
https://security-tracker.debian.org/tracker/CVE-2023-42282
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-42282
Для node-ip:
https://github.com/indutny/node-ip/commit/6a3ada9b471b09d5f0f5be264911ab564bf67894

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 67%
0.00539
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-42282

CVSS3: 9.8
ubuntu
около 2 лет назад

The ip package before 1.1.9 for Node.js might allow SSRF because some IP addresses (such as 0x7f.1) are improperly categorized as globally routable via isPublic.

redhat логотип

CVE-2023-42282

CVSS3: 9.8
redhat
около 2 лет назад

The ip package before 1.1.9 for Node.js might allow SSRF because some IP addresses (such as 0x7f.1) are improperly categorized as globally routable via isPublic.

nvd логотип

CVE-2023-42282

CVSS3: 9.8
nvd
около 2 лет назад

The ip package before 1.1.9 for Node.js might allow SSRF because some IP addresses (such as 0x7f.1) are improperly categorized as globally routable via isPublic.

msrc логотип

CVE-2023-42282

CVSS3: 9.8
msrc
почти 2 года назад

Описание отсутствует

debian логотип

CVE-2023-42282

CVSS3: 9.8
debian
около 2 лет назад

The ip package before 1.1.9 for Node.js might allow SSRF because some ...

EPSS

Процентиль: 67%
0.00539
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2