BDU:2024-03893

Опубликовано: 18 янв. 2024

Источник: fstec

CVSS3: 5.3

CVSS2: 4.3

EPSS Низкий

Описание

Уязвимость библиотеки Node.js программного обеспечения OpenVPN Connect связана с неприятием мер по нейтрализации инструкций в динамически исполняемом коде. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

OpenVPN Connect

Версия ПО

от 3.0 до 3.4.8 (OpenVPN Connect)

от 3.0 до 3.4.4 (3412) (OpenVPN Connect)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://openvpn.net/vpn-server-resources/openvpn-connect-for-macos-change-log/

https://openvpn.net/vpn-server-resources/openvpn-connect-for-windows-change-log/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-7245
CVE

EPSS

Процентиль: 41%

0.00186

Низкий

5.3 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

CVE-2023-7245

CVSS3: 7.8

nvd

почти 2 года назад

The nodejs framework in OpenVPN Connect 3.0 through 3.4.3 (Windows)/3.4.7 (macOS) was not properly configured, which allows a local user to execute arbitrary code within the nodejs process context via the ELECTRON_RUN_AS_NODE environment variable

GHSA-pr57-r6pp-3h3h