Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04313

Опубликовано: 19 мар. 2024
Источник: fstec
CVSS3: 7.3
CVSS2: 5.7
EPSS Низкий

Описание

Уязвимость модуля setuid() программной платформы Node.js связана с ошибками переключения контекста привилегий. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Oracle Corp.
Node.js Foundation

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
Oracle Linux
Node.js

Версия ПО

8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
8 (Oracle Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
9 (Red Hat Enterprise Linux)
9 (Oracle Linux)
от 20.0 до 20.11.1 (Node.js)
от 21.0 до 21.6.2 (Node.js)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Oracle Corp. Oracle Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Red Hat Inc. Red Hat Enterprise Linux 9
Oracle Corp. Oracle Linux 9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,7)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Node.js:
https://nodejs.org/en/blog/vulnerability/february-2024-security-releases/#setuid-does-not-drop-all-privileges-due-to-io_uring-cve-2024-22017---high
Для программных продуктов Oracle Corp:
https://www.oracle.com/security-alerts/linuxbulletinapr2024.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-22017
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-22017

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 60%
0.00403
Низкий

7.3 High

CVSS3

5.7 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-22017

CVSS3: 7.3
ubuntu
больше 1 года назад

setuid() does not affect libuv's internal io_uring operations if initialized before the call to setuid(). This allows the process to perform privileged operations despite presumably having dropped such privileges through a call to setuid(). This vulnerability affects all users using version greater or equal than Node.js 18.18.0, Node.js 20.4.0 and Node.js 21.

redhat логотип

CVE-2024-22017

CVSS3: 7.3
redhat
больше 1 года назад

setuid() does not affect libuv's internal io_uring operations if initialized before the call to setuid(). This allows the process to perform privileged operations despite presumably having dropped such privileges through a call to setuid(). This vulnerability affects all users using version greater or equal than Node.js 18.18.0, Node.js 20.4.0 and Node.js 21.

nvd логотип

CVE-2024-22017

CVSS3: 7.3
nvd
больше 1 года назад

setuid() does not affect libuv's internal io_uring operations if initialized before the call to setuid(). This allows the process to perform privileged operations despite presumably having dropped such privileges through a call to setuid(). This vulnerability affects all users using version greater or equal than Node.js 18.18.0, Node.js 20.4.0 and Node.js 21.

msrc логотип

CVE-2024-22017

CVSS3: 7.3
msrc
больше 1 года назад

Описание отсутствует

debian логотип

CVE-2024-22017

CVSS3: 7.3
debian
больше 1 года назад

setuid() does not affect libuv's internal io_uring operations if initi ...

EPSS

Процентиль: 60%
0.00403
Низкий

7.3 High

CVSS3

5.7 Medium

CVSS2