ГлавнаяБаза уязвимостей БДУ → BDU:2023-02149
9критическая

BDU:2023-02149 (CVE-2023-27586)

Уязвимость SVG-конвертера CairoSVG, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку или вызвать отказ в обслуживании
Опубликовано: 2023-04-20
Описание

Уязвимость SVG-конвертера CairoSVG связана с недостаточной проверкой поступающих запросов при обработке SVG-файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)РЕД ОС (7.3)CairoSVG (до 2.7.0)
Способ устранения

Использование рекомендаций:
Для CairoSVG:
https://github.com/Kozea/CairoSVG/commit/12d31c653c0254fa9d9853f66b04ea46e7397255
https://github.com/Kozea/CairoSVG/commit/33007d4af9195e2bfb2ff9af064c4c2d8e4b2b53
https://github.com/Kozea/CairoSVG/releases/tag/2.7.0

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-27586

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-cairosvg-cve-2023-27586/https://security-tracker.debian.org/tracker/CVE-2023-27586https://github.com/Kozea/CairoSVG/commit/12d31c653c0254fa9d9853f66b04ea46e7397255https://github.com/Kozea/CairoSVG/commit/33007d4af9195e2bfb2ff9af064c4c2d8e4b2b53https://github.com/Kozea/CairoSVG/releases/tag/2.7.0https://github.com/Kozea/CairoSVG/security/advisories/GHSA-rwmf-w63j-p7gv
Проверьте безопасность своего сайта и почты → Полная проверка домена