ГлавнаяБаза уязвимостей БДУ → BDU:2024-11495
7.8высокая

BDU:2024-11495 (CVE-2024-21538)

Уязвимость пакета cross-spawn программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-12-25
Описание

Уязвимость пакета cross-spawn программной платформы Node.js, связанная с использованием регулярного выражения с неэффективной вычислительной сложностью. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
openSUSE TumbleweedRed Hat OpenShift Container Platform (4.15)Red Hat Advanced Cluster Security (4.4)Suse Linux Enterprise Server (15 SP6)SUSE Linux Enterprise Server for SAP Applications (15 SP6)SUSE Linux Enterprise High Performance Computing (15 SP6)OpenSUSE Leap (15.6)Suse Linux Enterprise Server (12 SP5 LTSS Extended Security)Red Hat OpenShift Container Platform (4.16)Red Hat OpenShift Container Platform (4.17)Red Hat Advanced Cluster Security (4.5)Openshift Service Mesh (2.4 for RHEL 8)SUSE Linux Enterprise Module for Web Scripting (15 SP6)cross-spawn (до 7.0.6)VMmanager 6 (до 6.2.2025.10.1)Node.js (20.20.0)
Способ устранения

Использование рекомендаций:
Для cross-spawn:
https://github.com/moxystudio/node-cross-spawn/commit/5ff3a07d9add449021d806e45c4168203aa833ff
https://github.com/moxystudio/node-cross-spawn/commit/640d391fde65388548601d95abedccc12943374f
https://github.com/moxystudio/node-cross-spawn/pull/160

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-21538.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-21538

Для VMmanager 6:
обновление программного обеспечения, применение оперативного обновления Vmmanager 6 6.2.2025.10.1, предоставляемого в личном кабинете пользователя https://lk.astra.ru/ (https://wiki.astralinux.ru/x/ziLoD)

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://security.snyk.io/vuln/SNYK-JAVA-ORGWEBJARSNPM-8366349https://security.snyk.io/vuln/SNYK-JS-CROSSSPAWN-8303230https://github.com/moxystudio/node-cross-spawn/commit/5ff3a07d9add449021d806e45c4168203aa833ffhttps://github.com/moxystudio/node-cross-spawn/commit/640d391fde65388548601d95abedccc12943374fhttps://github.com/moxystudio/node-cross-spawn/pull/160https://www.suse.com/security/cve/CVE-2024-21538.htmlhttps://access.redhat.com/security/cve/cve-2024-21538https://lk.astra.ru/
Проверьте безопасность своего сайта и почты → Полная проверка домена