СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
06.07.2023
#Dev#ИБ

Уязвимость BDU:2024-01776

Уязвимость BDU:2024-01776

Идентификатор: BDU:2024-01776.

Наименование уязвимости: Уязвимость компонента Media File Handler веб-приложения для развёртывания распределённых социальных сетей Mastodon, позволяющая злоумышленнику создать и перезаписать произвольные файлы в системе.

Описание уязвимости: Уязвимость компонента Media File Handler веб-приложения для развёртывания распределённых социальных сетей Mastodon возникает из-за ошибки проверки ввода при обработке последовательностей обхода каталогов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создать и перезаписать произвольные файлы в системе с помощью специально созданного HTTP-запроса.
Уязвимое ПО: Сетевое средство, Сетевое программное средство Mastodon gGmbH Mastodon от 4.0.0 до 4.0.5 | Сетевое средство, Сетевое программное средство Mastodon gGmbH Mastodon от 4.1.0 до 4.1.3 | Сетевое средство, Сетевое программное средство Mastodon gGmbH Mastodon от 3.5.0 до 3.5.9 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 06.07.2023.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/mastodon/mastodon/releases/tag/v3.5.9
https://github.com/mastodon/mastodon/releases/tag/v4.0.5
https://github.com/mastodon/mastodon/releases/tag/v4.1.3.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-36460.

Тип ошибки CWE: CWE-22
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/mastodon/mastodon/releases/tag/v3.5.9
https://github.com/mastodon/mastodon/releases/tag/v4.0.5
https://github.com/mastodon/mastodon/releases/tag/v4.1.3
https://github.com/mastodon/mastodon/security/advisories/GHSA-9928-3cp5-93fm
https://www.openwall.com/lists/oss-security/2023/07/06/4
https://vuldb.com/?id.233261

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: