Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2023-07864

CVSS: 8.8

23.12.2022

Уязвимость метода parse библиотеки json5 пакетного менеджера NPM, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость метода parse библиотеки json5 пакетного менеджера NPM связана с неконтролируемым изменением атрибутов прототипа объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	23.12.2022
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Злоупотребление функционалом
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для json5: https://github.com/json5/json5/issues/199 https://github.com/json5/json5/issues/295 https://github.com/json5/json5/pull/298 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/3S26TLPLVFAJTUN3VIXFDEBEXDYO22CE/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-46175 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-46175 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения node-json5 до версии 0.5.1-1+deb10u1

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-1321	CWE-1321 Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2022-46175	JSON5 is an extension to the popular JSON file format that aims to be easier to write and maintain by hand (e.g. for config f...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
9	HIGH	2.0	AV:N/AC:L/Au:S/C:C/I:C/A:C
8.8	HIGH	3.0	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2022-46175

Вендор:	Red Hat Inc. Сообщество свободного программного обеспечения АО "НППКТ"
Тип ПО:	Сетевое программное средство Прикладное ПО информационных систем Сетевое средство ПО виртуализации/ПО виртуального программно-аппаратного средства Операционная система
Наименование ПО:	Red Hat Single Sign-On Red Hat Integration Camel K Red Hat Integration Camel Quarkus Red Hat Advanced Cluster Management for Kubernetes Red Hat OpenShift GitOps Red Hat Satellite Red Hat Integration Camel for Spring Boot Migration Toolkit for Virtualization Red Hat OpenShift Virtualization Red Hat Discovery Red Hat Migration Toolkit for Containers Red Hat Advanced Cluster Security Red Hat OpenShift Dev Spaces OpenShift Pipelines Red Hat OpenShift distributed tracing Red Hat Enterprise Linux Server JSON5 ОСОН ОСнова Оnyx
Версия ПО:	7 (Red Hat Single Sign-On) - (Red Hat Integration Camel K) - (Red Hat Integration Camel Quarkus) 2 (Red Hat Advanced Cluster Management for Kubernetes) - (Red Hat OpenShift GitOps) 6 (Red Hat Satellite) - (Red Hat Integration Camel for Spring Boot) - (Migration Toolkit for Virtualization) 4 (Red Hat OpenShift Virtualization) - (Red Hat Discovery) 1.7 (Red Hat Migration Toolkit for Containers) 3 (Red Hat Advanced Cluster Security) - (Red Hat OpenShift Dev Spaces) - (OpenShift Pipelines) - (Red Hat OpenShift distributed tracing) 8 (Red Hat Enterprise Linux Server) 7.6 for RHEL 7 (Red Hat Single Sign-On) 7.6 for RHEL 8 (Red Hat Single Sign-On) 7.6 for RHEL 9 (Red Hat Single Sign-On) до 1.0.2 (JSON5) от 2.0.0 до 2.2.2 (JSON5) до 2.9 (ОСОН ОСнова Оnyx)
ОС и аппаратные платформы:	Debian GNU/Linux (10) Debian GNU/Linux (11) Debian GNU/Linux (12) Fedora (37) Debian GNU/Linux (13) Red Hat Enterprise Linux Server (8) ОСОН ОСнова Оnyx (до 2.9)
Ссылки на источники:	https://security-tracker.debian.org/tracker/CVE-2022-46175 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/3S26TLPLVFAJTUN3VIXFDEB... https://access.redhat.com/security/cve/CVE-2022-46175 https://github.com/json5/json5/commit/7774c1097993bc3ce9f0ac4b722a32bf7d6871c8 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-07864