Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05926

Опубликовано: 28 нояб. 2022
Источник: fstec
CVSS3: 7.8
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость файла lib-src/etags.c компонента ctags текстового редактора EMACS связана с неправильной нейтрализацией специальных элементов. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
Fedora Project
АО "НППКТ"
АО «НТЦ ИТ РОСА»
The GNU Project

Наименование ПО

Debian GNU/Linux
РЕД ОС
Fedora
ОСОН ОСнова Оnyx
ROSA Virtualization
EMACS

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
36 (Fedora)
37 (Fedora)
до 2.7 (ОСОН ОСнова Оnyx)
2.1 (ROSA Virtualization)
до 28.2 включительно (EMACS)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
Fedora Project Fedora 36
Fedora Project Fedora 37
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Для EMACS:
https://git.savannah.gnu.org/cgit/emacs.git/commit/?id=d48bb4874bc6cd3e69c7a15fc3c91cc141025c51
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-45939
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FOSK3J7BBAEI4IITW2DRUKLQYUZYKH6Y/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GOXIH2FDEQJEAARE52C3GHTLGQFBYPIB/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения emacs до версии 1:26.1+1-3.2+deb10u3
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2841

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 12%
0.00041
Низкий

7.8 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20240731-01

CVSS3: 7.8
redos
больше 1 года назад

Множественные уязвимости emacs

ubuntu логотип

CVE-2022-45939

CVSS3: 7.8
ubuntu
около 3 лет назад

GNU Emacs through 28.2 allows attackers to execute commands via shell metacharacters in the name of a source-code file, because lib-src/etags.c uses the system C library function in its implementation of the ctags program. For example, a victim may use the "ctags *" command (suggested in the ctags documentation) in a situation where the current working directory has contents that depend on untrusted input.

redhat логотип

CVE-2022-45939

CVSS3: 7.8
redhat
около 3 лет назад

GNU Emacs through 28.2 allows attackers to execute commands via shell metacharacters in the name of a source-code file, because lib-src/etags.c uses the system C library function in its implementation of the ctags program. For example, a victim may use the "ctags *" command (suggested in the ctags documentation) in a situation where the current working directory has contents that depend on untrusted input.

nvd логотип

CVE-2022-45939

CVSS3: 7.8
nvd
около 3 лет назад

GNU Emacs through 28.2 allows attackers to execute commands via shell metacharacters in the name of a source-code file, because lib-src/etags.c uses the system C library function in its implementation of the ctags program. For example, a victim may use the "ctags *" command (suggested in the ctags documentation) in a situation where the current working directory has contents that depend on untrusted input.

msrc логотип

CVE-2022-45939

CVSS3: 7.8
msrc
около 3 лет назад

GNU Emacs through 28.2 allows attackers to execute commands via shell metacharacters in the name of a source-code file because lib-src/etags.c uses the system C library function in its implementation of the ctags program. For example a victim may use the "ctags *" command (suggested in the ctags documentation) in a situation where the current working directory has contents that depend on untrusted input.

EPSS

Процентиль: 12%
0.00041
Низкий

7.8 High

CVSS3

7.2 High

CVSS2