Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06186

Опубликовано: 19 июл. 2024
Источник: fstec
CVSS3: 8.4
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость компонента File Handler библиотеки импорта 3D-моделей Open Asset Import Library (Assimp) связана с переполнением буфера кучи. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально созданного файла

Вендор

ООО «Ред Софт»
АО «НТЦ ИТ РОСА»
Alexander Gessler, Thomas Schulze, Kim Kulling

Наименование ПО

РЕД ОС
РОСА ХРОМ
Open Asset Import Library (Assimp)

Версия ПО

7.3 (РЕД ОС)
12.4 (РОСА ХРОМ)
до 5.4.2 включительно (Open Asset Import Library (Assimp))

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,4)

Возможные меры по устранению уязвимости

Для assimp:
https://github.com/assimp/assimp/pull/5651/commits/614911bb3b1bfc3a1799ae2b3cca306270f3fb97
https://github.com/assimp/assimp/releases/tag/v5.4.2
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2588

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 31%
0.00115
Низкий

8.4 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20240807-01

CVSS3: 8.8
redos
больше 1 года назад

Множественные уязвимости assimp

ubuntu логотип

CVE-2024-40724

CVSS3: 7.8
ubuntu
больше 1 года назад

Heap-based buffer overflow vulnerability in Assimp versions prior to 5.4.2 allows a local attacker to execute arbitrary code by inputting a specially crafted file into the product.

nvd логотип

CVE-2024-40724

CVSS3: 7.8
nvd
больше 1 года назад

Heap-based buffer overflow vulnerability in Assimp versions prior to 5.4.2 allows a local attacker to execute arbitrary code by inputting a specially crafted file into the product.

debian логотип

CVE-2024-40724

CVSS3: 7.8
debian
больше 1 года назад

Heap-based buffer overflow vulnerability in Assimp versions prior to 5 ...

suse-cvrf логотип

openSUSE-SU-2024:0225-1

suse-cvrf
больше 1 года назад

Security update for assimp

EPSS

Процентиль: 31%
0.00115
Низкий

8.4 High

CVSS3

7.2 High

CVSS2