Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02311

Опубликовано: 05 янв. 2022
Источник: fstec
CVSS3: 8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость библиотеки Ruby/Gitt интерпретатора Ruby связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения
Red Hat Inc.
Elastic NV
Ruby Team

Наименование ПО

Debian GNU/Linux
Red Hat Satellite
Logstash
Ruby/Git

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
6.11 for RHEL 7 (Red Hat Satellite)
6.11 for RHEL 8 (Red Hat Satellite)
6.13 for RHEL 8 (Red Hat Satellite)
6.12 for RHEL 8 (Red Hat Satellite)
7.17.18 (Logstash)
6.14 for RHEL 8 (Red Hat Satellite)
до 1.13.0 (Ruby/Git)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Red Hat Inc.
https://access.redhat.com/security/cve/CVE-2022-46648
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-46648
Для Ruby:
https://github.com/ruby-git/ruby-git/pull/602
Компенсирующие меры для Logstash:
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости;
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.02432
Низкий

8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-46648

CVSS3: 8
ubuntu
около 3 лет назад

ruby-git versions prior to v1.13.0 allows a remote authenticated attacker to execute an arbitrary ruby code by having a user to load a repository containing a specially crafted filename to the product. This vulnerability is different from CVE-2022-47318.

redhat логотип

CVE-2022-46648

CVSS3: 8
redhat
около 3 лет назад

ruby-git versions prior to v1.13.0 allows a remote authenticated attacker to execute an arbitrary ruby code by having a user to load a repository containing a specially crafted filename to the product. This vulnerability is different from CVE-2022-47318.

nvd логотип

CVE-2022-46648

CVSS3: 8
nvd
около 3 лет назад

ruby-git versions prior to v1.13.0 allows a remote authenticated attacker to execute an arbitrary ruby code by having a user to load a repository containing a specially crafted filename to the product. This vulnerability is different from CVE-2022-47318.

debian логотип

CVE-2022-46648

CVSS3: 8
debian
около 3 лет назад

ruby-git versions prior to v1.13.0 allows a remote authenticated attac ...

github логотип

GHSA-pfpr-3463-c6jh

CVSS3: 8
github
около 3 лет назад

ruby-git has potential remote code execution vulnerability

EPSS

Процентиль: 85%
0.02432
Низкий

8 High

CVSS3

9 Critical

CVSS2