Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-02456

Опубликовано: 06 фев. 2025
Источник: fstec
CVSS3: 10
CVSS2: 9.4
EPSS Средний

Описание

Уязвимость системы управления базами данных WhoDB связана с возможностью использования памяти после освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

Clidey, Inc.

Наименование ПО

WhoDB

Версия ПО

до 0.45.0 (WhoDB)

Тип ПО

СУБД

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/clidey/whodb/security/advisories/GHSA-9r4c-jwx3-3j76

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.39342
Средний

10 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-24786

CVSS3: 10
nvd
около 1 года назад

WhoDB is an open source database management tool. While the application only displays Sqlite3 databases present in the directory `/db`, there is no path traversal prevention in place. This allows an unauthenticated attacker to open any Sqlite3 database present on the host machine that the application is running on. Affected versions of WhoDB allow users to connect to Sqlite3 databases. By default, the databases must be present in `/db/` (or alternatively `./tmp/` if development mode is enabled). If no databases are present in the default directory, the UI indicates that the user is unable to open any databases. The database file is an user-controlled value. This value is used in `.Join()` with the default directory, in order to get the full path of the database file to open. No checks are performed whether the database file that is eventually opened actually resides in the default directory `/db`. This allows an attacker to use path traversal (`../../`) in order to open any Sqlite3 da

github логотип

GHSA-9r4c-jwx3-3j76

CVSS3: 10
github
около 1 года назад

WhoDB has a path traversal opening Sqlite3 database

suse-cvrf логотип

SUSE-SU-2025:0429-1

suse-cvrf
12 месяцев назад

Security update for govulncheck-vulndb

EPSS

Процентиль: 97%
0.39342
Средний

10 Critical

CVSS3

9.4 Critical

CVSS2