Уязвимость BDU:2023-05226

Идентификатор: BDU:2023-05226.

Наименование уязвимости: Уязвимость функции nsCodingStateMachine::NextState() текстового редактора Notepad++, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации.

Описание уязвимости: Уязвимость функции nsCodingStateMachine::NextState() текстового редактора Notepad++ связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации
Уязвимое ПО: Прикладное ПО информационных систем Don Ho Notepad++ до 8.5.6 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 21.08.2023.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:N/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению:
Компенсирующие меры:
— открытие файлов, полученных из недоверенных источников с использованием замкнутой программной среды;
— использование антивирусного программного обеспечения для проверки загружаемых файлов и выявления средств эксплуатации уязвимости;
— ограничить возможность внедрения и выполнения установочных программ из недоверенных источников (ASAN-сборок Notepad ++)..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2023-40164.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://securitylab.github.com/advisories/GHSL-2023-092_Notepad__/
https://community.notepad-plus-plus.org/topic/24873/cve-2023-40031-cve-2023-40036-cve-2023-40164-cve-2023-40166/8