ГлавнаяБаза уязвимостей БДУ → BDU:2022-03042
6.3высокая

BDU:2022-03042 (CVE-2021-37713)

Уязвимость модуля Node-tar библиотеки Node.js, позволяющая нарушителю записывать произвольные файлы или выполнить произвольный код
Опубликовано: 2022-05-20
Описание

Уязвимость модуля Node-tar библиотеки Node.js связана с недостаточной проверкой имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю записывать произвольные файлы или выполнить произвольный код

Затрагиваемое ПО и версии
GraalVM Enterprise Edition (20.3.3)GraalVM Enterprise Edition (21.2.0)node-tar (от 6.1.0 до 6.1.9)node-tar (от 5.0.0 до 5.0.10)node-tar (до 4.4.18)IBM Cloud Private (3.2.1)IBM Cloud Private (3.2.2)SINEC INS (до 1.0.1.1)
Способ устранения

Использование рекомендаций:
Для Node-tar:
https://www.npmjs.com/package/tar
https://github.com/npm/node-tar/tags
https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh

Для программных продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-security-vulnerabilities-affect-ibm-cloud-private-node-js-cve-2021-37713/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2021.html

Для SINEC INS:
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf

Оценка CVSS
Балл6.3 — высокая опасность
Источники и патчи
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdfhttps://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jhhttps://www.npmjs.com/package/tarhttps://www.oracle.com/security-alerts/cpuoct2021.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2021-37713https://access.redhat.com/security/cve/cve-2021-37713https://www.ibm.com/blogs/psirt/security-bulletin-security-vulnerabilities-affect-ibm-cloud-private-node-js-cve-2021-37713/
Проверьте безопасность своего сайта и почты → Полная проверка домена