ГлавнаяБаза уязвимостей БДУ → BDU:2023-05172
10критическая

BDU:2023-05172

Уязвимость пакета Tough-cookie программной платформы Node.js, позволяющая нарушителю выполнить произвольный код JavaScript
Опубликовано: 2023-09-05
Описание

Уязвимость пакета Tough-cookie программной платформы Node.js связана с недостаточным контролем модификации динамически определённых характеристик объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код JavaScript

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Node.js (до 4.1.3)Wazuh (4.4.5)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для Node.js:
https://github.com/salesforce/tough-cookie/commit/12d474791bb856004e858fdb1c47b7608d09cf6e
ttps://github.com/salesforce/tough-cookie/issues/282
https://github.com/salesforce/tough-cookie/releases/tag/v4.1.3

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/07/msg00010.html

Компенсирующие меры для Wazuh:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения node-tough-cookie до версии 2.3.4+dfsg-1+deb10u1

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://security.snyk.io/vuln/SNYK-JS-TOUGHCOOKIE-5672873https://github.com/salesforce/tough-cookie/commit/12d474791bb856004e858fdb1c47b7608d09cf6ettps://github.com/salesforce/tough-cookie/issues/282https://github.com/salesforce/tough-cookie/releases/tag/v4.1.3https://lists.debian.org/debian-lts-announce/2023/07/msg00010.htmhttps://vuldb.com/?id.232852https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/https://github.com/salesforce/tough-cookie/issues/282
Проверьте безопасность своего сайта и почты → Полная проверка домена