Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04783

Опубликовано: 23 июн. 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции Org-Link-Expand-ABBREV файла LISP/OL.EL текстового редактора EMACS существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированной команды

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
The GNU Project
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
EMACS
Org mode
ОСОН ОСнова Оnyx

Версия ПО

8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
9 (Red Hat Enterprise Linux)
до 29.4 (EMACS)
до 9.7.5 (Org mode)
до 2.11 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Микропрограммный код

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Red Hat Inc. Red Hat Enterprise Linux 9
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение доступа к программному средству из общедоступных сетей (Интернет);
- использование антивирусного программного обеспечения для отслеживания попыток эксплуатации уязвимостей;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа.
Использование рекомендаций производителя:
https://git.savannah.gnu.org/cgit/emacs/org-mode.git/commit/?id=f4cc61636947b5c2f0afc67174dd369fe3277aa8
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-39331
Для Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-39331
Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения emacs до версии 1:26.1+1-3.2+deb10u6

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 75%
0.00903
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20240716-03

CVSS3: 8.8
redos
11 месяцев назад

Уязвимость emacs

ubuntu логотип

CVE-2024-39331

CVSS3: 9.8
ubuntu
12 месяцев назад

In Emacs before 29.4, org-link-expand-abbrev in lisp/ol.el expands a %(...) link abbrev even when it specifies an unsafe function, such as shell-command-to-string. This affects Org Mode before 9.7.5.

redhat логотип

CVE-2024-39331

CVSS3: 7.8
redhat
12 месяцев назад

In Emacs before 29.4, org-link-expand-abbrev in lisp/ol.el expands a %(...) link abbrev even when it specifies an unsafe function, such as shell-command-to-string. This affects Org Mode before 9.7.5.

nvd логотип

CVE-2024-39331

CVSS3: 9.8
nvd
12 месяцев назад

In Emacs before 29.4, org-link-expand-abbrev in lisp/ol.el expands a %(...) link abbrev even when it specifies an unsafe function, such as shell-command-to-string. This affects Org Mode before 9.7.5.

msrc логотип

CVE-2024-39331

CVSS3: 9.8
msrc
11 месяцев назад

Описание отсутствует

EPSS

Процентиль: 75%
0.00903
Низкий

8.8 High

CVSS3

10 Critical

CVSS2