Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11152

Опубликовано: 10 дек. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость среды проектирования приложений и платформы разработки одностраничных приложений Аngular связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Google Inc

Наименование ПО

Angular

Версия ПО

до 1.4.3 (Angular)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Критический уровень опасности (базовая оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/peerigon/angular-expressions/security/advisories/GHSA-5462-4vcx-jh7j

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 95%
0.15817
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-54152

ubuntu
около 1 года назад

Angular Expressions provides expressions for the Angular.JS web framework as a standalone module. Prior to version 1.4.3, an attacker can write a malicious expression that escapes the sandbox to execute arbitrary code on the system. With a more complex (undisclosed) payload, one can get full access to Arbitrary code execution on the system. The problem has been patched in version 1.4.3 of Angular Expressions. Two possible workarounds are available. One may either disable access to `__proto__` globally or make sure that one uses the function with just one argument.

nvd логотип

CVE-2024-54152

nvd
около 1 года назад

Angular Expressions provides expressions for the Angular.JS web framework as a standalone module. Prior to version 1.4.3, an attacker can write a malicious expression that escapes the sandbox to execute arbitrary code on the system. With a more complex (undisclosed) payload, one can get full access to Arbitrary code execution on the system. The problem has been patched in version 1.4.3 of Angular Expressions. Two possible workarounds are available. One may either disable access to `__proto__` globally or make sure that one uses the function with just one argument.

github логотип

GHSA-5462-4vcx-jh7j

github
около 1 года назад

Angular Expressions - Remote Code Execution when using locals

EPSS

Процентиль: 95%
0.15817
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2