ГлавнаяБаза уязвимостей БДУ → BDU:2024-02111
6.5средняя

BDU:2024-02111 (CVE-2022-4065)

Уязвимость функции testngXmlExistsInJar (testng-core/src/main/java/org/testng/JarFileUtils.java) фреймворка для тестирования Java-приложений TestNG, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-03-19
Описание

Уязвимость функции testngXmlExistsInJar (testng-core/src/main/java/org/testng/JarFileUtils.java) фреймворка для тестирования Java-приложений TestNG связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально сформированного zip-файла

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (10)Red Hat Software CollectionsSUSE Linux Enterprise Module for Development Tools (15 SP2)Debian GNU/Linux (11)Debian GNU/Linux (12)OpenSUSE Leap (15.4)SUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)Suse Linux Enterprise Desktop (15 SP3)SUSE Enterprise Storage (7)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Manager Server (4.1)SUSE Manager Proxy (4.1)SUSE Linux Enterprise High Performance Computing (15 SP2-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)SUSE Linux Enterprise Module for Development Tools (15 SP3)SUSE Manager Retail Branch Server (4.1)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP2)SUSE Linux Enterprise High Performance Computing (15 SP2)Suse Linux Enterprise Desktop (15 SP4)Suse Linux Enterprise Server (15 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Retail Branch Server (4.2)Suse Linux Enterprise Server (15 SP2-LTSS)
Способ устранения

Использование рекомендаций:
Для TestNG:
https://github.com/cbeust/testng/commit/9150736cd2c123a6a3b60e6193630859f9f0422b
https://github.com/cbeust/testng/pull/2806
https://github.com/cbeust/testng/releases/tag/7.7.1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-4065

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-4065

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-4065.html

Оценка CVSS
Балл6.5 — средняя опасность
Источники и патчи
https://www.suse.com/security/cve/CVE-2022-4065.htmlhttps://access.redhat.com/security/cve/CVE-2022-4065https://security-tracker.debian.org/tracker/CVE-2022-4065https://github.com/cbeust/testng/commit/9150736cd2c123a6a3b60e6193630859f9f0422bhttps://github.com/cbeust/testng/pull/2806https://github.com/cbeust/testng/releases/tag/7.7.1
Проверьте безопасность своего сайта и почты → Полная проверка домена