7.1высокая
BDU:2021-02443
Уязвимость реализации метода _.zipObjectDeep() библиотеки Lodash, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
Опубликовано: 2021-05-12
Описание
Уязвимость реализации метода _.zipObjectDeep() библиотеки Lodash связана с выделением неограниченной памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код
Затрагиваемое ПО и версии
Oracle Communications Session Border Controller (Cz8.4)Oracle Communications Session Router (Cz8.4)Oracle Communications Subscriber-Aware Load Balancer (Cz8.3)Oracle Communications Subscriber-Aware Load Balancer (Cz8.4)Enterprise Communications Broker (PCz3.3)lodash (до 4.17.20)РЕД ОС (7.3)
Способ устранения
Использование рекомендаций:
Для Lodash:
https://github.com/lodash/lodash/issues/4874
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2021.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Оценка CVSS
| Балл | 7.1 — высокая опасность |
Источники и патчи