СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
19.04.2024
#ИБ

Уязвимость BDU:2024-05685

Уязвимость BDU:2024-05685

Идентификатор: BDU:2024-05685.

Наименование уязвимости: Уязвимость компонента Permission Model программной платформы Node.js, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации.

Описание уязвимости: Уязвимость компонента Permission Model программной платформы Node.js связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации при использовании флага —allow-fs-write
Уязвимое ПО: Сетевое программное средство Node.js Foundation Node.js от 20.0.0 до 20.15.1 | Сетевое программное средство Node.js Foundation Node.js от 22.0.0 до 22.4.1 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8 |

Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 18 |
Дата выявления: 19.04.2024.
CVSS 2.0: AV:L/AC:L/Au:S/C:P/I:P/A:N
Уровень опасности уязвимости: Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,2)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,9)

Возможные меры по устранению:
Использование рекомендаций:
https://nodejs.org/en/blog/vulnerability/july-2024-security-releases#permission-model-improperly-processes-unc-paths-cve-2024-37372—low
https://nodejs.org/en/blog/release/v20.15.1
https://nodejs.org/en/blog/release/v22.4.1

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-36137.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nodejs.org/en/blog/vulnerability/july-2024-security-releases
https://www.cybersecurity-help.cz/vdb/SB2024070937
https://www.openwall.com/lists/oss-security/2024/07/19/3
https://www.openwall.com/lists/oss-security/2024/07/11/6
https://www.tenable.com/cve/CVE-2024-36137
https://nodejs.org/en/blog/vulnerability/july-2024-security-releases#permission-model-improperly-processes-unc-paths-cve-2024-37372—low
https://nodejs.org/en/blog/release/v20.15.1
https://nodejs.org/en/blog/release/v22.4.1
https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: