Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-03944

Опубликовано: 25 дек. 2024
Источник: fstec
CVSS3: 6.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость справочной системы Yelp связана с включением функций из недостоверной контролируемой области при обработке документов с использованием схемы ghelp. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации и выполнить произвольный код

Вендор

ООО «РусБИТех-Астра»
АО «НТЦ ИТ РОСА»
АО "НППКТ"
The GNOME Project
ООО «НЦПР»

Наименование ПО

Astra Linux Special Edition
РОСА ХРОМ
ОСОН ОСнова Оnyx
Yelp
МСВСфера

Версия ПО

1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
12.4 (РОСА ХРОМ)
1.8 (Astra Linux Special Edition)
до 2.12 (ОСОН ОСнова Оnyx)
42.1 (Yelp)
до 2.13 (ОСОН ОСнова Оnyx)
до 2.14 (ОСОН ОСнова Оnyx)
9.5 (МСВСфера)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО "НППКТ" ОСОН ОСнова Оnyx до 2.13
АО "НППКТ" ОСОН ОСнова Оnyx до 2.14
ООО «НЦПР» МСВСфера 9.5

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
Для Yelp:
- использование средств межсетевого экранирования уровня веб-приложений (WAF);
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому устройству;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
Для ОСОН Основа:
Обновление программного обеспечения yelp до версии 3.31.90-1osnova2u1
Обновление программного обеспечения yelp до версии 3.31.90-1osnova2u1
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2926
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2925
Для ОС Astra Linux:
обновить пакет yelp до 42.2-1+ubuntu0.24.04.1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2926
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2925
Для ОС Astra Linux:
- обновить пакет yelp до 3.31.90-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет yelp-xsl до 3.31.90-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Обновление программного обеспечения yelp-xsl до версии 3.38.3-1+deb11u1
Для ОС Astra Linux:
- обновить пакет yelp до 3.31.90-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет yelp-xsl до 3.31.90-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:7430?lang=ru

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 43%
0.00206
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20251215-7314

CVSS3: 6.5
redos
5 дней назад

Уязвимость yelp

ubuntu логотип

CVE-2025-3155

CVSS3: 7.4
ubuntu
9 месяцев назад

A flaw was found in Yelp. The Gnome user help application allows the help document to execute arbitrary scripts. This vulnerability allows malicious users to input help documents, which may exfiltrate user files to an external environment.

redhat логотип

CVE-2025-3155

CVSS3: 7.4
redhat
9 месяцев назад

A flaw was found in Yelp. The Gnome user help application allows the help document to execute arbitrary scripts. This vulnerability allows malicious users to input help documents, which may exfiltrate user files to an external environment.

nvd логотип

CVE-2025-3155

CVSS3: 7.4
nvd
9 месяцев назад

A flaw was found in Yelp. The Gnome user help application allows the help document to execute arbitrary scripts. This vulnerability allows malicious users to input help documents, which may exfiltrate user files to an external environment.

debian логотип

CVE-2025-3155

CVSS3: 7.4
debian
9 месяцев назад

A flaw was found in Yelp. The Gnome user help application allows the h ...

EPSS

Процентиль: 43%
0.00206
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2