ГлавнаяБаза уязвимостей БДУ → BDU:2025-03939
5высокая

BDU:2025-03939 (CVE-2020-27511)

Уязвимость компонентов stripTags и unescapeHTML фреймворка для работы с DOM и AJAX Prototype, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2025-04-09
Описание

Уязвимость компонентов stripTags и unescapeHTML фреймворка для работы с DOM и AJAX Prototype связана с недостаточной обработкой регулярных выражений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Prototype (до 1.7.3 включительно)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для Prototype:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=991898

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-27511

Для ОС Astra Linux:
обновить пакет prototypejs до 1.7.3-1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет prototypejs до 1.7.3-1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
http://prototypejs.org/https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=991898https://github.com/prototypejs/prototype/blob/dee2f7d8611248abce81287e1be4156011953c90/src/prototype/lang/string.js#L283https://github.com/yetingli/PoCs/blob/main/CVE-2020-27511/Prototype.mdhttps://nvd.nist.gov/vuln/detail/CVE-2020-27511https://security-tracker.debian.org/tracker/CVE-2020-27511https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE63
Проверьте безопасность своего сайта и почты → Полная проверка домена