BDU:2025-15407

Опубликовано: 23 нояб. 2025

Источник: fstec

CVSS3: 8.8

CVSS2: 9

EPSS Низкий

Описание

Уязвимость плагина in_docker функции extract_name инструмента для сбора и обработки логов Fluent Bit связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Treasure Data, Inc.

Наименование ПО

Fluent Bit

Версия ПО

4.1.0 (Fluent Bit)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://fluentbit.io/blog/2025/10/28/security-vulnerabilities-addressed-in-fluent-bit-v4.1-and-backported-to-v4.0/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-12970
CVE

EPSS

Процентиль: 34%

0.00134

Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2025-12970

CVSS3: 8.8

nvd

3 месяца назад

The extract_name function in Fluent Bit in_docker input plugin copies container names into a fixed size stack buffer without validating length. An attacker who can create containers or control container names, can supply a long name that overflows the buffer, leading to process crash or arbitrary code execution.

CVE-2025-12970

CVSS3: 8.8

msrc

2 месяца назад

CVE-2025-12970

GHSA-8rpx-2j25-w4rp

CVSS3: 8.8

github

3 месяца назад

EPSS

Процентиль: 34%

0.00134

Низкий

8.8 High

CVSS3

9 Critical

CVSS2