Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-07005

Опубликовано: 24 окт. 2024
Источник: fstec
CVSS3: 8.4
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость функции CallbackToLogRedirector() кроссплатформенной библиотеки импорта 3D-моделей Assimp (Open Asset Import Library) связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Вендор

Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Red Hat Inc.
Alexander Gessler, Thomas Schulze, Kim Kulling

Наименование ПО

openSUSE Tumbleweed
Debian GNU/Linux
РЕД ОС
Red Hat Enterprise Linux
OpenSUSE Leap
Open Asset Import Library (Assimp)

Версия ПО

- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
9 (Red Hat Enterprise Linux)
15.6 (OpenSUSE Leap)
5.4.3 (Open Asset Import Library (Assimp))

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. OpenSUSE Leap 15.6

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,4)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Open Asset Import Library (Assimp):
https://github.com/assimp/assimp/issues/5788
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-48423
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-48423
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-48423.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 8%
0.00034
Низкий

8.4 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-48423

CVSS3: 7.8
ubuntu
10 месяцев назад

An issue in assimp v.5.4.3 allows a local attacker to execute arbitrary code via the CallbackToLogRedirector function within the Assimp library.

redhat логотип

CVE-2024-48423

CVSS3: 7.8
redhat
10 месяцев назад

An issue in assimp v.5.4.3 allows a local attacker to execute arbitrary code via the CallbackToLogRedirector function within the Assimp library.

nvd логотип

CVE-2024-48423

CVSS3: 7.8
nvd
10 месяцев назад

An issue in assimp v.5.4.3 allows a local attacker to execute arbitrary code via the CallbackToLogRedirector function within the Assimp library.

debian логотип

CVE-2024-48423

CVSS3: 7.8
debian
10 месяцев назад

An issue in assimp v.5.4.3 allows a local attacker to execute arbitrar ...

github логотип

GHSA-mjhm-5r72-mjx7

CVSS3: 7.8
github
10 месяцев назад

An issue in assimp v.5.4.3 allows a local attacker to execute arbitrary code via the CallbackToLogRedirector function within the Assimp library.

EPSS

Процентиль: 8%
0.00034
Низкий

8.4 High

CVSS3

7.2 High

CVSS2