ГлавнаяБаза уязвимостей БДУ → BDU:2023-04192
7.5высокая

BDU:2023-04192

Уязвимость функции JSZip.loadAsync() библиотеки обработки zip файлов Jszip комплекта разработчика приложений OpenJDK, позволяющая нарушителю записывать произвольные файлы и выполнить произвольные команды
Опубликовано: 2023-07-28
Описание

Уязвимость функции JSZip.loadAsync() библиотеки обработки zip файлов Jszip комплекта разработчика приложений OpenJDK связана с неверным ограничением имени пути к каталогу с ограниченным доступом при обработке имен файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записывать произвольные файлы и выполнить произвольные команды с помощью специально созданного вредоносного ZIP-архива

Затрагиваемое ПО и версии
Jszip (до 3.8.0)OpenJDK (11.0.19)АЛЬТ СП 10
Способ устранения

Использование рекомендаций:
https://github.com/Stuk/jszip/commit/2edab366119c9ee948357c02f1206c28566cdf15
https://github.com/Stuk/jszip/compare/v3.7.1...v3.8.0

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://exchange.xforce.ibmcloud.com/vulnerabilities/244499https://github.com/Stuk/jszip/commit/2edab366119c9ee948357c02f1206c28566cdf15https://github.com/Stuk/jszip/compare/v3.7.1...v3.8.0https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена