ГлавнаяБаза уязвимостей БДУ → BDU:2023-03176
5средняя

BDU:2023-03176 (CVE-2023-0842)

Уязвимость программного средства для конвертации XML-объектов в JavaScript xml2js, связанная с неконтролируемым изменением атрибутов прототипа объекта, позволяющая нарушителю редактировать или добавлять новые свойства объекта
Опубликовано: 2023-06-16
Описание

Уязвимость программного средства для конвертации XML-объектов в JavaScript xml2js связана с неконтролируемым изменением атрибутов прототипа объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, редактировать свойства объекта __proto__

Затрагиваемое ПО и версии
UBLinux (до 2204)xml2js (до 0.5.0)Wazuh (4.4.5)
Способ устранения

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений

Использование рекомендаций:
Для xml2js:
Обновление программного обеспечения до версии 0.5.0 и выше

Для UBLinux:
https://security.ublinux.ru/AVG-61

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://fluidattacks.com/advisories/myers/https://github.com/Leonidas-from-XIV/node-xml2js/https://security.ublinux.ru/CVE-2023-0842https://github.com/Leonidas-from-XIV/node-xml2js/issues/663https://github.com/Leonidas-from-XIV/node-xml2js/pull/603https://github.com/Leonidas-from-XIV/node-xml2js/commit/581b19a62d88f8a3c068b5a45f4542c2d6a495a5
Проверьте безопасность своего сайта и почты → Полная проверка домена