ГлавнаяБаза уязвимостей БДУ → BDU:2023-09145
7.2высокая

BDU:2023-09145

Уязвимость программного средства для просмотра электронных документов Xreader, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-12-27
Описание

Уязвимость программного средства для просмотра электронных документов Xreader связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путем открытия пользователем специально сформированого EPUB или CBT-файла

Затрагиваемое ПО и версии
РЕД ОС (7.3)Xreader (до 4.0.0)Xreader (до 3.8.5)Xreader (до 3.6.6)Xreader (до 3.2.3)Xreader (до 2.6.5)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- минимизация пользовательских привилегий;
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников перед их открытием.

Использование рекомендаций производителя:
Для Xreader:
https://github.com/linuxmint/xreader/commit/141f1313745b9cc73670df51ac145165efcbb14a

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://www.zerodayinitiative.com/advisories/ZDI-23-1835/https://github.com/linuxmint/xreader/commit/141f1313745b9cc73670df51ac145165efcbb14ahttps://www.opennet.ru/opennews/art.shtml?num=60355http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена