BDU:2024-04916
Сообщество свободного программного обеспечения, ООО «Ред Софт» РЕД ОС, ejs
2024-07-02
Уязвимость шаблона для разработки веб-приложений ejs для Node.Js связана с неверной нейтрализацией особых элементов в выходных данных, используемых входящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированного JavaScript-кода
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование антивирусного программного обеспечения для отслеживания попыток эксплуатации уязвимости; - использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа.
Использование рекомендаций производителя: https://github.com/mde/ejs/commit/e469741dca7df2eb400199e1cdb74621e3f89aa5 https://github.com/mde/ejs/compare/v3.1.9...v3.1.10
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/