Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-10250

Опубликовано: 24 окт. 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость расширения database программного средства извлечения и очистки табличных данных OpenRefine связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

OpenRefine

Версия ПО

от 3.4-beta до 3.8.3 (OpenRefine)

Тип ПО

ПО для разработки ИИ

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/OpenRefine/OpenRefine/security/advisories/GHSA-87cf-j763-vvh8

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 50%
0.00266
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-47881

CVSS3: 8.1
ubuntu
больше 1 года назад

OpenRefine is a free, open source tool for working with messy data. Starting in version 3.4-beta and prior to version 3.8.3, in the `database` extension, the "enable_load_extension" property can be set for the SQLite integration, enabling an attacker to load (local or remote) extension DLLs and so run arbitrary code on the server. The attacker needs to have network access to the OpenRefine instance. Version 3.8.3 fixes this issue.

nvd логотип

CVE-2024-47881

CVSS3: 8.1
nvd
больше 1 года назад

OpenRefine is a free, open source tool for working with messy data. Starting in version 3.4-beta and prior to version 3.8.3, in the `database` extension, the "enable_load_extension" property can be set for the SQLite integration, enabling an attacker to load (local or remote) extension DLLs and so run arbitrary code on the server. The attacker needs to have network access to the OpenRefine instance. Version 3.8.3 fixes this issue.

debian логотип

CVE-2024-47881

CVSS3: 8.1
debian
больше 1 года назад

OpenRefine is a free, open source tool for working with messy data. St ...

github логотип

GHSA-87cf-j763-vvh8

CVSS3: 8.1
github
больше 1 года назад

OpenRefine's SQLite integration allows filesystem access, remote code execution (RCE)

EPSS

Процентиль: 50%
0.00266
Низкий

8.8 High

CVSS3

10 Critical

CVSS2