Идентификатор: BDU:2021-00866.
Наименование уязвимости: Уязвимость функции «xopen(filepath)» приложения для работы с файлами xopen для npm, позволяющая нарушителю выполнить произвольные команды операционной системы.
Описание уязвимости: Уязвимость функции «xopen(filepath)» приложения для работы с файлами xopen для npm существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды операционной системы, посредством отправки специально сформированных данных
Уязвимое ПО: Сетевое средство, Прикладное ПО информационных систем, Сетевое программное средство andrewimm xopen 1.0.0 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 01.02.2021.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению:
Ограничить доступ к уязвимому продукту средствами межсетевого экранирования или другими административными мерами.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2020-28447.
Тип ошибки CWE: CWE-78
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://snyk.io/vuln/SNYK-JS-XOPEN-1050981
https://www.cybersecurity-help.cz/vdb/SB2021020106
https://www.npmjs.com/package/xopen