СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
19.04.2024

Уязвимость BDU:2024-05671

Уязвимость BDU:2024-05671

Идентификатор: BDU:2024-05671.

Наименование уязвимости: Уязвимость компонента Experimental Permission Model программной платформы Node.js, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации.

Описание уязвимости: Уязвимость компонента Experimental Permission Model программной платформы Node.js связана с ошибками обработки разрешений при использовании флага —allow-fs-read. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации
Уязвимое ПО: Сетевое программное средство Node.js Foundation Node.js от 20.0.0 до 20.15.1 | Сетевое программное средство Node.js Foundation Node.js от 22.0.0 до 22.4.1 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8 |

Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 18 |
Дата выявления: 19.04.2024.
CVSS 2.0: AV:L/AC:H/Au:N/C:P/I:N/A:N
Уровень опасности уязвимости: Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 1,2)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 2,9)

Возможные меры по устранению:
Использование рекомендаций:
https://nodejs.org/en/blog/vulnerability/july-2024-security-releases
https://nodejs.org/en/blog/release/v22.4.1
https://nodejs.org/en/blog/release/v20.15.1

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-22018.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nodejs.org/en/blog/vulnerability/july-2024-security-releases
https://vuldb.com/?id.271015
https://hackerone.com/reports/2145862
https://www.openwall.com/lists/oss-security/2024/07/19/3
https://www.openwall.com/lists/oss-security/2024/07/11/6
https://nodejs.org/en/blog/release/v22.4.1
https://nodejs.org/en/blog/release/v20.15.1
https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: