Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

BDU:2021-02877

CVSS: 7.2
25.05.2021

Уязвимость библиотеки lodash прикладного программного обеспечения Аврора Центр, связанная с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнить произвольную команду

Уязвимость библиотеки lodash прикладного программного обеспечения Аврора Центр связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, позволяющая нарушителю выполнить произвольную команду
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 25.05.2021
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует в открытом доступе
Способ эксплуатации: Инъекция
Способ устранения: Нет данных
Меры по устранению: Использовать следующие компенсирующие меры:
Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя

Для ОСОН Основа:
Обновление программного обеспечения node-lodash до версии 4.17.11+dfsg-2+deb10u1osnova0u1

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-78 Некорректная нейтрализация специальных элементов, используемых в системных командах (внедрение команд ОС)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2021-23337 Command Injection

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
6.5 MEDIUM 2.0 AV:N/AC:L/Au:S/C:P/I:P/A:P
7.2 HIGH 3.0 AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2021-23337
Вендор:
  • ООО «Открытая мобильная платформа»
  • АО "НППКТ"
Тип ПО:
  • Прикладное ПО информационных систем
  • Операционная система
Наименование ПО:
  • Аврора Центр
  • ОСОН ОСнова Оnyx
Версия ПО:
  • от 2.1.3 до 2.5.0 включительно (Аврора Центр)
  • до 2.5 (ОСОН ОСнова Оnyx)
ОС и аппаратные платформы:
  • Linux (-)
  • Windows (-)
Ссылки на источники:

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.