ГлавнаяБаза уязвимостей БДУ → BDU:2024-03121
4.6средняя

BDU:2024-03121 (CVE-2024-30260)

Уязвимость клиента HTTP/1.1 undici программной платформы Node.js, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-04-19
Описание

Уязвимость клиента HTTP/1.1 undici программной платформы Node.js связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)openSUSE TumbleweedFedora (38)Fedora (39)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Web Scripting (15 SP5)Undici (до 5.28.4)Undici (до 6.11.1)Astra Linux Special Edition (1.8)
Способ устранения

Использование рекомендаций:

Для Node.js Foundation:
https://github.com/nodejs/undici/commit/64e3402da4e032e68de46acb52800c9a06aaea3f
https://github.com/nodejs/undici/commit/6805746680d27a5369d7fb67bc05f95a28247d75
https://github.com/nodejs/undici/security/advisories/GHSA-m4v8-wqvr-p9f7

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-30260.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HQVHWAS6WDXXIU7F72XI55VZ2LTZUB33/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P6Q4RGETHVYVHDIQGTJGU5AV6NJEI67E/

Для ОС Astra Linux:
обновить пакет node-undici до 5.28.4+dfsg1+~cs23.12.11-2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Оценка CVSS
Балл4.6 — средняя опасность
Источники и патчи
https://github.com/nodejs/undici/commit/64e3402da4e032e68de46acb52800c9a06aaea3fhttps://github.com/nodejs/undici/commit/6805746680d27a5369d7fb67bc05f95a28247d75https://github.com/nodejs/undici/security/advisories/GHSA-m4v8-wqvr-p9f7https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HQVHWAS6WDXXIU7F72XI55VZ2LTZUB33/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P6Q4RGETHVYVHDIQGTJGU5AV6NJEI67E/https://www.suse.com/security/cve/CVE-2024-30260.htmlhttps://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Проверьте безопасность своего сайта и почты → Полная проверка домена