ГлавнаяБаза уязвимостей БДУ → BDU:2023-01627
7.8высокая

BDU:2023-01627 (CVE-2023-23918)

Уязвимость функции process.mainModule.require() программной платформы Node.js, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2023-03-28
Описание

Уязвимость функции process.mainModule.require() программной платформы Node.js, связана с ошибками авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии

Затрагиваемое ПО и версии
SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)SUSE Linux Enterprise Server for SAP Applications (12)Red Hat 3scale API Management Platform (2)Debian GNU/Linux (11)Suse Linux Enterprise Server (12)ONTAP Tools for VMware vSphereBrocade SAN Navigator (SANnav)РЕД ОС (7.3)OpenSUSE Leap (15.4)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Server (15 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Red Hat Enterprise Linux (9)Suse Linux Enterprise Server (15 SP2-LTSS)Fedora (37)Suse Linux Enterprise Server (15 SP3-LTSS)Suse Linux Enterprise Server (15 SP3-BCL)Fedora (38)Node.js (от 14.0.0 до 14.21.3)
Способ устранения

Использование рекомендаций:

Для Node.js:
https://nodejs.org/en/blog/vulnerability/february-2023-security-releases

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-23918

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-23918

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-23918.html

Для программных продуктов Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FCZGMVMOQF3IIYLXRDAMUGEYRFMODSFO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WGNBZL6LNUADB3YLMTFRZU5OKREK65IC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/357Y2YWSNBYGQTIGXBE44REBOKU27PLK/

Для программных продуктов NetApp Inc:
https://security.netapp.com/advisory/ntap-20230316-0008/

Для РЕД ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.cybersecurity-help.cz/vdb/SB2023031610https://github.com/nodejs/node/commit/af9140088621abd09016848f4526d66b7a81b9bahttps://github.com/nodejs/node/commit/9b7db62276e4a9c97aedf91daf38bf7b7d23fee4https://nodejs.org/en/blog/vulnerability/february-2023-security-releaseshttps://access.redhat.com/security/cve/cve-2023-23918https://security-tracker.debian.org/tracker/CVE-2023-23918https://www.suse.com/security/cve/CVE-2023-23918.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FCZGMVMOQF3IIYLXRDAMUGEYRFMODSFO/
Проверьте безопасность своего сайта и почты → Полная проверка домена