Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06866

Опубликовано: 26 фев. 2024
Источник: fstec
CVSS3: 4.4
CVSS2: 4.3
EPSS Низкий

Описание

Уязвимость функций function#copy и function#toStringTokens расширения ECMAScript 5 пакета es5-ext связана с неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»
Сообщество свободного программного обеспечения

Наименование ПО

РЕД ОС
es5-ext

Версия ПО

7.3 (РЕД ОС)
до 0.10.63 (es5-ext)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,4)

Возможные меры по устранению уязвимости

Для es5-ext:
https://github.com/medikoo/es5-ext/commit/3551cdd7b2db08b1632841f819d008757d28e8e2
https://github.com/medikoo/es5-ext/commit/a52e95736690ad1d465ebcd9791d54570e294602
https://github.com/medikoo/es5-ext/issues/201
https://github.com/medikoo/es5-ext/security/advisories/GHSA-4gmj-3p3h-gm8h
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 82%
0.01846
Низкий

4.4 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-27088

ubuntu
почти 2 года назад

es5-ext contains ECMAScript 5 extensions. Passing functions with very long names or complex default argument names into `function#copy` or `function#toStringTokens` may cause the script to stall. The vulnerability is patched in v0.10.63.

nvd логотип

CVE-2024-27088

nvd
почти 2 года назад

es5-ext contains ECMAScript 5 extensions. Passing functions with very long names or complex default argument names into `function#copy` or `function#toStringTokens` may cause the script to stall. The vulnerability is patched in v0.10.63.

debian логотип

CVE-2024-27088

debian
почти 2 года назад

es5-ext contains ECMAScript 5 extensions. Passing functions with very ...

redos логотип

ROS-20240904-12

redos
больше 1 года назад

Уязвимость nodejs-es5-ext

github логотип

GHSA-4gmj-3p3h-gm8h

github
почти 2 года назад

es5-ext vulnerable to Regular Expression Denial of Service in `function#copy` and `function#toStringTokens`

EPSS

Процентиль: 82%
0.01846
Низкий

4.4 Medium

CVSS3

4.3 Medium

CVSS2