Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11495

Опубликовано: 22 дек. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость пакета cross-spawn программной платформы Node.js, связанная с использованием регулярного выражения с неэффективной вычислительной сложностью. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Novell Inc.
Red Hat Inc.
NPM, Inc.

Наименование ПО

openSUSE Tumbleweed
Red Hat OpenShift Container Platform
Red Hat Advanced Cluster Security
Suse Linux Enterprise Server
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise High Performance Computing
OpenSUSE Leap
Openshift Service Mesh
SUSE Linux Enterprise Module for Web Scripting
cross-spawn

Версия ПО

- (openSUSE Tumbleweed)
4.15 (Red Hat OpenShift Container Platform)
4.4 (Red Hat Advanced Cluster Security)
15 SP6 (Suse Linux Enterprise Server)
15 SP6 (SUSE Linux Enterprise Server for SAP Applications)
15 SP6 (SUSE Linux Enterprise High Performance Computing)
15.6 (OpenSUSE Leap)
12 SP5 LTSS Extended Security (Suse Linux Enterprise Server)
4.16 (Red Hat OpenShift Container Platform)
4.17 (Red Hat OpenShift Container Platform)
4.5 (Red Hat Advanced Cluster Security)
2.4 for RHEL 8 (Openshift Service Mesh)
15 SP6 (SUSE Linux Enterprise Module for Web Scripting)
до 7.0.6 (cross-spawn)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
Novell Inc. Suse Linux Enterprise Server 15 SP6
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6
Novell Inc. OpenSUSE Leap 15.6
Novell Inc. Suse Linux Enterprise Server 12 SP5 LTSS Extended Security

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для cross-spawn:
https://github.com/moxystudio/node-cross-spawn/commit/5ff3a07d9add449021d806e45c4168203aa833ff
https://github.com/moxystudio/node-cross-spawn/commit/640d391fde65388548601d95abedccc12943374f
https://github.com/moxystudio/node-cross-spawn/pull/160
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-21538.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-21538

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 21%
0.00069
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-21538

CVSS3: 4.4
redhat
больше 1 года назад

Versions of the package cross-spawn before 6.0.6, from 7.0.0 and before 7.0.5 are vulnerable to Regular Expression Denial of Service (ReDoS) due to improper input sanitization. An attacker can increase the CPU usage and crash the program by crafting a very large and well crafted string.

nvd логотип

CVE-2024-21538

CVSS3: 7.5
nvd
больше 1 года назад

Versions of the package cross-spawn before 6.0.6, from 7.0.0 and before 7.0.5 are vulnerable to Regular Expression Denial of Service (ReDoS) due to improper input sanitization. An attacker can increase the CPU usage and crash the program by crafting a very large and well crafted string.

msrc логотип

CVE-2024-21538

CVSS3: 7.5
msrc
около 1 года назад

Описание отсутствует

suse-cvrf логотип

SUSE-SU-2024:4301-1

suse-cvrf
около 1 года назад

Security update for nodejs18

suse-cvrf логотип

SUSE-SU-2024:4300-1

suse-cvrf
около 1 года назад

Security update for nodejs20

EPSS

Процентиль: 21%
0.00069
Низкий

7.5 High

CVSS3

7.8 High

CVSS2