Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-10922

Опубликовано: 28 апр. 2025
Источник: fstec
CVSS3: 4.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость библиотеки libsoup графического интерфейса GNOME связана с недостаточной проверкой регистра. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации

Вендор

Red Hat Inc.
Canonical Ltd.
АО «СберТех»
GNOME Foundation

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
Platform V SberLinux OS Server
libsoup

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
8 (Red Hat Enterprise Linux)
20.04 LTS (Ubuntu)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
24.04 LTS (Ubuntu)
25.04 (Ubuntu)
10 (Red Hat Enterprise Linux)
9.1 (Platform V SberLinux OS Server)
2.72.0 (libsoup)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Canonical Ltd. Ubuntu 24.04 LTS
Canonical Ltd. Ubuntu 25.04
Red Hat Inc. Red Hat Enterprise Linux 10
АО «СберТех» Platform V SberLinux OS Server 9.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://bugzilla.redhat.com/show_bug.cgi?id=2362651
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-4035
Для программных продуктов Ubuntu:
https://ubuntu.com/security/CVE-2025-4035
Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- контроль журналов аудита кластера для отслеживания попыток эксплуатации уязвимости.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 15%
0.0005
Низкий

4.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-4035

CVSS3: 4.3
ubuntu
5 месяцев назад

A flaw was found in libsoup. When handling cookies, libsoup clients mistakenly allow cookies to be set for public suffix domains if the domain contains at least two components and includes an uppercase character. This bypasses public suffix protections and could allow a malicious website to set cookies for domains it does not own, potentially leading to integrity issues such as session fixation.

redhat логотип

CVE-2025-4035

CVSS3: 4.3
redhat
5 месяцев назад

A flaw was found in libsoup. When handling cookies, libsoup clients mistakenly allow cookies to be set for public suffix domains if the domain contains at least two components and includes an uppercase character. This bypasses public suffix protections and could allow a malicious website to set cookies for domains it does not own, potentially leading to integrity issues such as session fixation.

nvd логотип

CVE-2025-4035

CVSS3: 4.3
nvd
5 месяцев назад

A flaw was found in libsoup. When handling cookies, libsoup clients mistakenly allow cookies to be set for public suffix domains if the domain contains at least two components and includes an uppercase character. This bypasses public suffix protections and could allow a malicious website to set cookies for domains it does not own, potentially leading to integrity issues such as session fixation.

debian логотип

CVE-2025-4035

CVSS3: 4.3
debian
5 месяцев назад

A flaw was found in libsoup. When handling cookies, libsoup clients mi ...

github логотип

GHSA-9685-44wp-34gm

CVSS3: 4.3
github
5 месяцев назад

A flaw was found in libsoup. When handling cookies, libsoup clients mistakenly allow cookies to be set for public suffix domains if the domain contains at least two components and includes an uppercase character. This bypasses public suffix protections and could allow a malicious website to set cookies for domains it does not own, potentially leading to integrity issues such as session fixation.

EPSS

Процентиль: 15%
0.0005
Низкий

4.3 Medium

CVSS3

5 Medium

CVSS2