Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03123

Опубликовано: 04 апр. 2024
Источник: fstec
CVSS3: 2.6
CVSS2: 2.1
EPSS Низкий

Описание

Уязвимость клиента HTTP/1.1 undici программной платформы Node.js связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Novell Inc.
Fedora Project
Node.js Foundation
ООО «РусБИТех-Астра»

Наименование ПО

SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
SUSE Linux Enterprise High Performance Computing
SUSE Linux Enterprise Module for Web Scripting
SUSE Manager Server
Fedora
Undici
Astra Linux Special Edition

Версия ПО

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
12 (SUSE Linux Enterprise High Performance Computing)
12 (SUSE Linux Enterprise Module for Web Scripting)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
12 (SUSE Linux Enterprise Server for SAP Applications)
12 (Suse Linux Enterprise Server)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
4.3 (SUSE Manager Server)
38 (Fedora)
39 (Fedora)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Server)
15 SP5 (SUSE Linux Enterprise High Performance Computing)
15 SP5 (SUSE Linux Enterprise Module for Web Scripting)
15 SP4-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP4-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP4-LTSS (Suse Linux Enterprise Server)
до 5.28.4 (Undici)
до 6.11.1 (Undici)
1.8 (Astra Linux Special Edition)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое средство

Операционные системы и аппаратные платформы

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12
Novell Inc. Suse Linux Enterprise Server 12
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Fedora Project Fedora 38
Fedora Project Fedora 39
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP4-LTSS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,1)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 2,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Node.js Foundation:
https://github.com/nodejs/undici/commit/2b39440bd9ded841c93dd72138f3b1763ae26055
https://github.com/nodejs/undici/commit/d542b8cd39ec1ba303f038ea26098c3f355974f3
https://github.com/nodejs/undici/security/advisories/GHSA-9qxr-qj54-h672
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HQVHWAS6WDXXIU7F72XI55VZ2LTZUB33/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P6Q4RGETHVYVHDIQGTJGU5AV6NJEI67E/
Для продуктов Novell Inc.:
https://www.suse.com/fr-fr/security/cve/CVE-2024-30261.html
Для ОС Astra Linux:
обновить пакет node-undici до 5.28.4+dfsg1+~cs23.12.11-2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 24%
0.00081
Низкий

2.6 Low

CVSS3

2.1 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-30261

CVSS3: 2.6
ubuntu
почти 2 года назад

Undici is an HTTP/1.1 client, written from scratch for Node.js. An attacker can alter the `integrity` option passed to `fetch()`, allowing `fetch()` to accept requests as valid even if they have been tampered. This vulnerability was patched in version(s) 5.28.4 and 6.11.1.

redhat логотип

CVE-2024-30261

CVSS3: 2.6
redhat
почти 2 года назад

Undici is an HTTP/1.1 client, written from scratch for Node.js. An attacker can alter the `integrity` option passed to `fetch()`, allowing `fetch()` to accept requests as valid even if they have been tampered. This vulnerability was patched in version(s) 5.28.4 and 6.11.1.

nvd логотип

CVE-2024-30261

CVSS3: 2.6
nvd
почти 2 года назад

Undici is an HTTP/1.1 client, written from scratch for Node.js. An attacker can alter the `integrity` option passed to `fetch()`, allowing `fetch()` to accept requests as valid even if they have been tampered. This vulnerability was patched in version(s) 5.28.4 and 6.11.1.

msrc логотип

CVE-2024-30261

CVSS3: 3.5
msrc
почти 2 года назад

Описание отсутствует

debian логотип

CVE-2024-30261

CVSS3: 2.6
debian
почти 2 года назад

Undici is an HTTP/1.1 client, written from scratch for Node.js. An att ...

EPSS

Процентиль: 24%
0.00081
Низкий

2.6 Low

CVSS3

2.1 Low

CVSS2