CVE-2019-5443

Опубликовано: 25 июн. 2019

Источник: redhat

CVSS3: 8.4

EPSS Низкий

Описание

A non-privileged user or program can put code and a config file in a known non-privileged path (under C:/usr/local/) that will make curl <= 7.65.1 automatically run the code (as an openssl "engine") on invocation. If that curl is invoked by a privileged user it can do anything it wants.

Затронутые пакеты

Платформа	Пакет	Состояние
.NET Core 1.0 on Red Hat Enterprise Linux	rh-dotnetcore10-curl	Not affected
.NET Core 1.1 on Red Hat Enterprise Linux	rh-dotnetcore11-curl	Not affected
.NET Core 2.1 on Red Hat Enterprise Linux	rh-dotnet21-curl	Not affected
.NET Core 2.2 on Red Hat Enterprise Linux	rh-dotnet22-curl	Not affected
Red Hat Enterprise Linux 5	curl	Not affected
Red Hat Enterprise Linux 6	curl	Not affected
Red Hat Enterprise Linux 7	curl	Not affected
Red Hat Enterprise Linux 8	curl	Not affected
Red Hat JBoss Core Services	curl	Not affected
Red Hat JBoss Web Server 5	curl	Not affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important

Дефект:

CWE-94

https://bugzilla.redhat.com/show_bug.cgi?id=1772100curl: Windows OpenSSL engine code injection

EPSS

Процентиль: 76%

0.01021

Низкий

8.4 High

CVSS3

Связанные уязвимости

CVE-2019-5443

CVSS3: 7.8

ubuntu

почти 6 лет назад

CVE-2019-5443

CVSS3: 7.8

nvd

почти 6 лет назад

CVE-2019-5443

CVSS3: 7.8

debian

почти 6 лет назад

A non-privileged user or program can put code and a config file in a k ...

GHSA-79v3-h2vf-vcg6

CVSS3: 7.8

github

около 3 лет назад

BDU:2019-03792

CVSS3: 7.8

fstec

около 6 лет назад

Уязвимость библиотеки libcurl, связанная с неверным управлением генерацией кода, позволяющая нарушителю повысить свои привилегии или выполнить произвольный код

EPSS

Процентиль: 76%

0.01021

Низкий

8.4 High

CVSS3