ГлавнаяБаза уязвимостей БДУ → BDU:2024-05266
10критическая

BDU:2024-05266 (CVE-2024-28397)

Уязвимость функции js2py.disable_pyimport() библиотеки js2py, позволяющая нарушителю обойти защитный механизм песочницы и выполнить произвольный код
Опубликовано: 2024-07-15
Описание

Уязвимость функции js2py.disable_pyimport() библиотеки js2py связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти защитный механизм песочницы и выполнить произвольный код в результате отправки специально созданного вызова API

Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)openSUSE TumbleweedSUSE Package Hub (15 SP5)OpenSUSE Leap (15.6)js2py (до 0.74 включительно)
Способ устранения

Использование рекомендаций:
Для js2py:
https://github.com/bmwiedemann/openSUSE/commit/a951988e767280bf50048d1e51be11b49264526a
https://github.com/gentoo/gentoo/pull/37285
https://github.com/Marven11/CVE-2024-28397-js2py-Sandbox-Escape/blob/main/fix.py
https://github.com/Marven11/CVE-2024-28397-js2py-Sandbox-Escape/blob/main/patch.txt
https://github.com/advisories/GHSA-h95x-26f3-88hr

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-28397.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/Marven11/CVE-2024-28397-js2py-Sandbox-Escapehttps://sploitus.com/exploit?id=43C77EB4-90E2-5040-8398-5128A5C2F93Bhttps://habr.com/ru/companies/tomhunter/articles/824316/https://github.com/advisories/GHSA-h95x-26f3-88hrhttps://osv.dev/vulnerability/GHSA-h95x-26f3-88hrhttps://github.com/gentoo/gentoo/pull/37285https://github.com/PiotrDabkowski/Js2Py/pull/323https://www.suse.com/security/cve/CVE-2024-28397.html
Проверьте безопасность своего сайта и почты → Полная проверка домена