Куда я попал?
BDU:2024-05843
CVSS: 8.8
14.07.2024
Уязвимость модуля package_index библиотеки упрощения упаковки проектов setuptools, связанная с неправильным контролем генерации кода, позволяющая нарушителю выполнять произвольные команды в системе
Уязвимость модуля package_index библиотеки упрощения упаковки проектов setuptools связана с использованием функций, которые используются для загрузки пакетов с URL-адресов, предоставленных пользователями или полученных с серверов индексов пакетов, подвержены внедрению кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды в системе
| Статус уязвимости: |
Подтверждена производителем
Уязвимость устранена
|
| Дата выявления: | 14.07.2024 |
| Класс уязвимости: | Уязвимость кода |
| Наличие эксплойта: | Существует в открытом доступе |
| Способ эксплуатации: | Инъекция |
| Способ устранения: | Нет данных |
| Меры по устранению: | Для setuptools: https://huntr.com/bounties/d6362117-ad57-4e83-951f-b8141c6e7ca5 https://github.com/pypa/setuptools/commit/88807c7062788254f654ea8c03427adc859321f0 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства Для ОС Astra Linux: обновить пакет setuptools до 66.1.1-1+ci202409031440+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2513 Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2512 Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2513 Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2512 Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2499 Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2771 |
Идентификатор типа ошибки
Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
| Идентификатор | Описание |
|---|---|
| CWE-94 | CWE-94 Improper Control of Generation of Code ('Code Injection') |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2024-6345 | Remote Code Execution in pypa/setuptools |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20250117-6 | 17.01.2025 | Выполнение произвольного кода в Dell OpenManage Network Integration (OMNI) |
CVSS
Система общей оценки уязвимостей
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 10 | CRITICAL | 2.0 | AV:N/AC:L/Au:N/C:C/I:C/A:C |
| 8.8 | HIGH | 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Идентификаторы других систем описаний уязвимостей
CVE-2024-6345
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.