BDU:2024-02595

Сообщество свободного программного обеспечения, ООО «Ред Софт» asyncua, РЕД ОС

НЕ ОЦЕНЕНО

Дата обнаружения

2022-04-06

Официальное описание

Уязвимость функции mapValues() служебного модуля Async для работы с асинхронным JavaScript связана с неправильно контролируемой модификации атрибутов прототипа объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Для async: https://github.com/caolan/async/blob/master/lib/internal/iterator.js https://github.com/caolan/async/blob/master/lib/mapValuesLimit.js https://github.com/caolan/async/blob/v2.6.4/CHANGELOG.md#v264 https://github.com/caolan/async/commit/e1ecdbf79264f9ab488c7799f4c76996d5dca66d https://github.com/caolan/async/compare/v2.6.3...v2.6.4 https://github.com/caolan/async/pull/1828

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей