Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2022-04072

CVSS: 9.3

08.06.2022

Уязвимость программного средства создания веб-служб go-restful, связанная с обходом авторизации посредством ключа, контролируемого пользователем, позволяющая наруштителю повысить свои привилегии

Уязвимость программного средства создания веб-служб go-restful связана с обходом авторизации посредством ключа, контролируемого пользователем. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	08.06.2022
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Нарушение авторизации
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для emicklei/go-restful: https://github.com/emicklei/go-restful/commit/fd3c327a379ce08c68ef18765bdc925f5d9bad10 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/575BLJ3Y2EQBRNTFR2OSQQ6L2W6UCST3/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OBDD3Q23RCGAGHIXUCWBU6N3S4RNAKXB/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZY2SLWOQR4ZURQ7UBRZ7JIX6H6F5JHJR/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-1996

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-639	CWE-639 Authorization Bypass Through User-Controlled Key

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2022-1996	Authorization Bypass Through User-Controlled Key in emicklei/go-restful

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20250602-2	02.06.2025	Подделка запросов на стороне сервера в Dell PowerStoreT OS

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
9.4	HIGH	2.0	AV:N/AC:L/Au:N/C:C/I:C/A:N
9.3	HIGH	3.0	AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2022-1996

Вендор:	Red Hat Inc. Fedora Project Сообщество свободного программного обеспечения
Тип ПО:	ПО виртуализации/ПО виртуального программно-аппаратного средства Прикладное ПО информационных систем Операционная система Сетевое средство Сетевое программное средство
Наименование ПО:	Red Hat Virtualization OpenShift Container Platform Openshift Service Mesh Fedora Ansible Automation Platform Red Hat Openshift Data Foundation Red Hat Openshift Container Storage go-restful
Версия ПО:	4 (Red Hat Virtualization) 3.11 (OpenShift Container Platform) 4 (OpenShift Container Platform) 2 (Openshift Service Mesh) 35 (Fedora) 1.2 (Ansible Automation Platform) 2.0 (Ansible Automation Platform) 4 (Red Hat Openshift Data Foundation) 36 (Fedora) 4 (Red Hat Openshift Container Storage) 2.1.0 (Openshift Service Mesh) до 3.8.0 (go-restful)
ОС и аппаратные платформы:	Fedora (35) Fedora (36)
Ссылки на источники:	https://github.com/emicklei/go-restful/commit/fd3c327a379ce08c68ef18765bdc925f5d9bad10 https://huntr.dev/bounties/be837427-415c-4d8c-808b-62ce20aa84f1 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/575BLJ3Y2EQBRNTFR2OSQQ6L2... https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OBDD3Q23RCGAGHIXUCWBU6N3S... https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZY2SLWOQR4ZURQ7UBRZ7JIX6H... https://access.redhat.com/security/cve/CVE-2022-1996

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2022-04072