ГлавнаяБаза уязвимостей БДУ → BDU:2025-09392
10критическая

BDU:2025-09392

Уязвимость класса StyleElement библиотеки обработки SVG-изображений canvg, позволяющая нарушителю реализовать атаку типа «загрязнение прототипа»
Опубликовано: 2025-08-05
Описание

Уязвимость класса StyleElement библиотеки обработки SVG-изображений canvg связана с неконтролируемым изменением атрибутов прототипа объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку типа «загрязнение прототипа»

Затрагиваемое ПО и версии
canvg (до 3.0.11)canvg (от 4.0.0 до 4.0.3)VMmanager 6 (до 6.2.2025.10.1)
Способ устранения

Использование рекомендаций:
https://github.com/kkpan11/canvg/commit/c3743e6345f3e01aefdcdd412c3f26494f4b5d7d
https://github.com/canvg/canvg/releases/tag/v3.0.11
https://github.com/canvg/canvg/releases/tag/v4.0.3

Для VMmanager 6:
обновление программного обеспечения, применение оперативного обновления Vmmanager 6 6.2.2025.10.1, предоставляемого в личном кабинете пользователя https://lk.astra.ru/ (https://wiki.astralinux.ru/x/ziLoD)

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/canvg/canvg/pull/1750https://canvg.js.org/https://github.com/canvg/canvg/issues/1749https://lk.astra.ru/https://wiki.astralinux.ru/x/ziLoD
Проверьте безопасность своего сайта и почты → Полная проверка домена