Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06186

Опубликовано: 19 июл. 2024
Источник: fstec
CVSS3: 8.4
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость компонента File Handler библиотеки импорта 3D-моделей Open Asset Import Library (Assimp) связана с переполнением буфера кучи. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально созданного файла

Вендор

ООО «Ред Софт»
АО «НТЦ ИТ РОСА»
Alexander Gessler, Thomas Schulze, Kim Kulling

Наименование ПО

РЕД ОС
РОСА ХРОМ
Open Asset Import Library (Assimp)

Версия ПО

7.3 (РЕД ОС)
12.4 (РОСА ХРОМ)
до 5.4.2 включительно (Open Asset Import Library (Assimp))

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,4)

Возможные меры по устранению уязвимости

Для assimp:
https://github.com/assimp/assimp/pull/5651/commits/614911bb3b1bfc3a1799ae2b3cca306270f3fb97
https://github.com/assimp/assimp/releases/tag/v5.4.2
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2588

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 27%
0.0009
Низкий

8.4 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-40724

CVSS3: 7.8
ubuntu
12 месяцев назад

Heap-based buffer overflow vulnerability in Assimp versions prior to 5.4.2 allows a local attacker to execute arbitrary code by inputting a specially crafted file into the product.

nvd логотип

CVE-2024-40724

CVSS3: 7.8
nvd
12 месяцев назад

Heap-based buffer overflow vulnerability in Assimp versions prior to 5.4.2 allows a local attacker to execute arbitrary code by inputting a specially crafted file into the product.

debian логотип

CVE-2024-40724

CVSS3: 7.8
debian
12 месяцев назад

Heap-based buffer overflow vulnerability in Assimp versions prior to 5 ...

suse-cvrf логотип

openSUSE-SU-2024:0225-1

suse-cvrf
11 месяцев назад

Security update for assimp

suse-cvrf логотип

SUSE-SU-2024:3079-1

suse-cvrf
10 месяцев назад

Security update for libqt5-qt3d

EPSS

Процентиль: 27%
0.0009
Низкий

8.4 High

CVSS3

7.2 High

CVSS2