ГлавнаяБаза уязвимостей БДУ → BDU:2024-00884
6.4средняя

BDU:2024-00884 (CVE-2024-22195)

Уязвимость фильтра xmlattr шаблонизатора Jinja2 для языка программирования Python, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)
Опубликовано: 2024-02-02
Описание

Уязвимость фильтра xmlattr шаблонизатора Jinja2 для языка программирования Python связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS)

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Software CollectionsРЕД ОС (7.3)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)Fedora (38)Fedora (39)Red Hat DiscoveryRed Hat Ansible Automation Platform (2)ROSA Virtualization (2.1)АЛЬТ СП 10Jinja2 (до 3.1.3)ОСОН ОСнова Оnyx (до 2.10)Astra Linux Special Edition (1.8)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для Jinja:
https://github.com/pallets/jinja/releases/tag/3.1.3
https://github.com/pallets/jinja/security/advisories/GHSA-h5c8-rqwp-cp95

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-22195

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-22195

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5XCWZD464AJJJUBOO7CMPXQ4ROBC6JX2/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DELCVUUYX75I5K4Q5WMJG4MUZJA6VAIP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/O7YWRBX6JQCWC2XXCTZ55C7DPMGICCN3/

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения jinja2 до версии 2.10-2+deb10u1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет jinja2 до 2.10-2+deb10u1+ci202405161722+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет jinja2 до 2.10-2+deb10u1+ci202405161722+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Astra Linux:
обновить пакет jinja2 до 3.1.2-1ubuntu1.1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2506

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2506

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2769

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5XCWZD464AJJJUBOO7CMPXQ4ROBC6JX2/https://access.redhat.com/security/cve/cve-2024-22195https://github.com/pallets/jinja/releases/tag/3.1.3https://github.com/pallets/jinja/security/advisories/GHSA-h5c8-rqwp-cp95https://security-tracker.debian.org/tracker/CVE-2024-22195https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5XCWZD464AJJJUBOO7CMPXQ4ROBC6JX2/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DELCVUUYX75I5K4Q5WMJG4MUZJA6VAIP/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/O7YWRBX6JQCWC2XXCTZ55C7DPMGICCN3/
Проверьте безопасность своего сайта и почты → Полная проверка домена