ГлавнаяБаза уязвимостей БДУ → BDU:2024-03123
2.1средняя

BDU:2024-03123 (CVE-2024-30261)

Уязвимость клиента HTTP/1.1 undici программной платформы Node.js, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-04-19
Описание

Уязвимость клиента HTTP/1.1 undici программной платформы Node.js связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise High Performance Computing (12)SUSE Linux Enterprise Module for Web Scripting (12)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12)Suse Linux Enterprise Server (12)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Server (4.3)Fedora (38)Fedora (39)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Web Scripting (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP4-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP4-LTSS)Suse Linux Enterprise Server (15 SP4-LTSS)Undici (до 5.28.4)Undici (до 6.11.1)Astra Linux Special Edition (1.8)
Способ устранения

Использование рекомендаций:

Для Node.js Foundation:
https://github.com/nodejs/undici/commit/2b39440bd9ded841c93dd72138f3b1763ae26055
https://github.com/nodejs/undici/commit/d542b8cd39ec1ba303f038ea26098c3f355974f3
https://github.com/nodejs/undici/security/advisories/GHSA-9qxr-qj54-h672

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HQVHWAS6WDXXIU7F72XI55VZ2LTZUB33/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P6Q4RGETHVYVHDIQGTJGU5AV6NJEI67E/

Для продуктов Novell Inc.:
https://www.suse.com/fr-fr/security/cve/CVE-2024-30261.html

Для ОС Astra Linux:
обновить пакет node-undici до 5.28.4+dfsg1+~cs23.12.11-2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Оценка CVSS
Балл2.1 — средняя опасность
Источники и патчи
https://github.com/nodejs/undici/commit/2b39440bd9ded841c93dd72138f3b1763ae26055https://github.com/nodejs/undici/commit/d542b8cd39ec1ba303f038ea26098c3f355974f3https://github.com/nodejs/undici/security/advisories/GHSA-9qxr-qj54-h672https://hackerone.com/reports/2377760https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HQVHWAS6WDXXIU7F72XI55VZ2LTZUB33/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P6Q4RGETHVYVHDIQGTJGU5AV6NJEI67E/https://www.suse.com/fr-fr/security/cve/CVE-2024-30261.htmlhttps://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Проверьте безопасность своего сайта и почты → Полная проверка домена