9высокая
BDU:2023-07864 (CVE-2022-46175)
Уязвимость метода parse библиотеки json5 пакетного менеджера NPM, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-11-15
Описание
Уязвимость метода parse библиотеки json5 пакетного менеджера NPM связана с неконтролируемым изменением атрибутов прототипа объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Затрагиваемое ПО и версии
Red Hat Single Sign-On (7)Red Hat Integration Camel KRed Hat Integration Camel QuarkusRed Hat Advanced Cluster Management for Kubernetes (2)Red Hat OpenShift GitOpsRed Hat Satellite (6)Red Hat Integration Camel for Spring BootMigration Toolkit for VirtualizationRed Hat OpenShift Virtualization (4)Red Hat DiscoveryRed Hat Migration Toolkit for Containers (1.7)Red Hat Advanced Cluster Security (3)Red Hat OpenShift Dev SpacesOpenShift PipelinesRed Hat OpenShift distributed tracingRed Hat Enterprise Linux Server (8)Red Hat Single Sign-On (7.6 for RHEL 7)Red Hat Single Sign-On (7.6 for RHEL 8)Red Hat Single Sign-On (7.6 for RHEL 9)JSON5 (до 1.0.2)JSON5 (от 2.0.0 до 2.2.2)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения
Использование рекомендаций:
Для json5:
https://github.com/json5/json5/issues/199
https://github.com/json5/json5/issues/295
https://github.com/json5/json5/pull/298
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/3S26TLPLVFAJTUN3VIXFDEBEXDYO22CE/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-46175
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-46175
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения node-json5 до версии 0.5.1-1+deb10u1
Оценка CVSS
| Балл | 9 — высокая опасность |
Источники и патчи