СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
30.03.2021

Уязвимость BDU:2022-02129

Уязвимость BDU:2022-02129

Идентификатор: BDU:2022-02129.

Наименование уязвимости: Уязвимость обработчика шаблонов для PHP Smarty, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный PHP-код.

Описание уязвимости: Уязвимость обработчика шаблонов для PHP Smarty связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный PHP-код с помощью специально созданной вредоносной математической строки
Уязвимое ПО: Прикладное ПО информационных систем New Digital Group, Inc. Smarty до 3.1.42 | Прикладное ПО информационных систем New Digital Group, Inc. Smarty до 4.0.2 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 30.03.2021.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/smarty-php/smarty/commit/215d81a9fa3cd63d82fb3ab56ecaf97cf1e7db71
https://github.com/smarty-php/smarty/releases/tag/v3.1.42
https://github.com/smarty-php/smarty/releases/tag/v4.0.2
https://github.com/smarty-php/smarty/security/advisories/GHSA-29gp-2c3m-3j6m.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-29454. SB2022032833.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.cybersecurity-help.cz/vdb/SB2022032833
https://vuldb.com/?id.189994
https://safe-surf.ru/upload/VULN/VULN-20220331.15.pdf
https://github.com/smarty-php/smarty/commit/215d81a9fa3cd63d82fb3ab56ecaf97cf1e7db71
https://github.com/smarty-php/smarty/releases/tag/v3.1.42
https://github.com/smarty-php/smarty/releases/tag/v4.0.2
https://github.com/smarty-php/smarty/security/advisories/GHSA-29gp-2c3m-3j6m
https://packagist.org/packages/smarty/smarty
https://www.smarty.net/docs/en/language.function.math.tpl

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: