Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-03339

Опубликовано: 21 янв. 2025
Источник: fstec
CVSS3: 7.7
CVSS2: 6.6
EPSS Низкий

Описание

Уязвимость утилиты diagnostics_channel программной платформы Node.js связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю обойти внедренные ограничения безопасности

Вендор

Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Node.js Foundation

Наименование ПО

Red Hat Enterprise Linux
openSUSE Tumbleweed
Debian GNU/Linux
РЕД ОС
SUSE Linux Enterprise Server for SAP Applications
SUSE Liberty Linux
Suse Linux Enterprise Server
SUSE Linux Enterprise High Performance Computing
OpenSUSE Leap
SUSE Linux Enterprise Module for Web Scripting
Node.js

Версия ПО

8 (Red Hat Enterprise Linux)
- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
9 (Red Hat Enterprise Linux)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
9 (SUSE Liberty Linux)
15 SP6 (Suse Linux Enterprise Server)
15 SP6 (SUSE Linux Enterprise Server for SAP Applications)
15 SP6 (SUSE Linux Enterprise High Performance Computing)
15.6 (OpenSUSE Leap)
9.4 Extended Update Support (Red Hat Enterprise Linux)
15 SP6 (SUSE Linux Enterprise Module for Web Scripting)
15 SP5-LTSS (Suse Linux Enterprise Server)
15 SP5-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP5-ESPOS (SUSE Linux Enterprise High Performance Computing)
от 20.0.0 до 23.6.0 (Node.js)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. SUSE Liberty Linux 9
Novell Inc. Suse Linux Enterprise Server 15 SP6
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6
Novell Inc. OpenSUSE Leap 15.6
Red Hat Inc. Red Hat Enterprise Linux 9.4 Extended Update Support
Novell Inc. Suse Linux Enterprise Server 15 SP5-LTSS

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Node.js:
https://nodejs.org/en/blog/vulnerability/january-2025-security-releases
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-23083
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-23083
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-23083.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 0%
0.00008
Низкий

7.7 High

CVSS3

6.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-23083

CVSS3: 7.7
ubuntu
5 месяцев назад

With the aid of the diagnostics_channel utility, an event can be hooked into whenever a worker thread is created. This is not limited only to workers but also exposes internal workers, where an instance of them can be fetched, and its constructor can be grabbed and reinstated for malicious usage. This vulnerability affects Permission Model users (--permission) on Node.js v20, v22, and v23.

redhat логотип

CVE-2025-23083

CVSS3: 7.7
redhat
5 месяцев назад

With the aid of the diagnostics_channel utility, an event can be hooked into whenever a worker thread is created. This is not limited only to workers but also exposes internal workers, where an instance of them can be fetched, and its constructor can be grabbed and reinstated for malicious usage. This vulnerability affects Permission Model users (--permission) on Node.js v20, v22, and v23.

nvd логотип

CVE-2025-23083

CVSS3: 7.7
nvd
5 месяцев назад

With the aid of the diagnostics_channel utility, an event can be hooked into whenever a worker thread is created. This is not limited only to workers but also exposes internal workers, where an instance of them can be fetched, and its constructor can be grabbed and reinstated for malicious usage. This vulnerability affects Permission Model users (--permission) on Node.js v20, v22, and v23.

msrc логотип

CVE-2025-23083

CVSS3: 7.7
msrc
5 месяцев назад

Описание отсутствует

debian логотип

CVE-2025-23083

CVSS3: 7.7
debian
5 месяцев назад

With the aid of the diagnostics_channel utility, an event can be hooke ...

EPSS

Процентиль: 0%
0.00008
Низкий

7.7 High

CVSS3

6.6 Medium

CVSS2