Уязвимость BDU:2022-05975 - Каталог уязвимостей Сканер-ВС

Оценки

EPSS

0.000нет0.0%

0%20%40%60%80%100%

Процентиль: 0.0%

CVSS

7.3высокий3.x

0246810

Оценка CVSS: 7.3/10

Все оценки CVSS

CVSS 3.x

7.3

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0

6.8

Вектор: AV:N/AC:M/Au:N/C:P/I:P/A:P

Описание

Уязвимость функций extract и extractall модуля tarfile интерпретатора языка программирования Python связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Источники

bdu

Связанные уязвимости

CVE-2007-4559

Эксплойты

ID эксплойта: CVE-2007-4559

Источник: github-poc

URL: https://github.com/depers-rus/CVE-2007-4559

Справочные ссылки

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-4559

http://mail.python.org/pipermail/python-dev/2007-August/074290.html

http://mail.python.org/pipermail/python-dev/2007-August/074292.html

http://www.vupen.com/english/advisories/2007/3022

https://bugzilla.redhat.com/show_bug.cgi?id=263261

https://www.securitylab.ru/news/534031.php

https://tv.cnews.ru/video/ekspluataciya_uyazvimosti_cve-2007-4559_v_python.shtm

https://xakep.ru/2022/09/22/cve-2007-4559/l

https://nvd.nist.gov/vuln/detail/CVE-2007-4559

https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11/

http://mail.python.org/pipermail/python-dev/2007-August/074290.html

http://mail.python.org/pipermail/python-dev/2007-August/074292.html

https://abf.rosa.ru/advisories/ROSA-SA-2025-2825

Рекомендации

Источник: bdu

Компенсирующие меры:
- запрет разархивирование файлов, полученных из недоверенных источников;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- использование программного средства с минимально необходимым уровнем привилегий.

Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства

Использование рекомендаций:
Для Python:
http://mail.python.org/pipermail/python-dev/2007-August/074290.html
http://mail.python.org/pipermail/python-dev/2007-August/074290.html
http://mail.python.org/pipermail/python-dev/2007-August/074292.html
http://mail.python.org/pipermail/python-dev/2007-August/074292.html

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения samba до версии 2:4.18.11+repack-1osnova2

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2825

URL: https://bdu.fstec.ru/vul/2022-05975

Уязвимое ПО (12)

Тип: Конфигурация

Поставщик: project harbor

Продукт: harbor

Операционная система: осон основа оnyx *

Характеристика:

{  "version_exact": "2.7.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: project harbor

Продукт: harbor

Операционная система: rosa virtualization 3.0 3.0

Характеристика:

{  "version_exact": "2.7.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: python software foundation

Продукт: python

Операционная система: осон основа оnyx *

Характеристика:

{  "version_end_excluding": "3.11.4",  "version_start_including": "3.11.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: python software foundation

Продукт: python

Операционная система: осон основа оnyx *

Характеристика:

{  "version_end_excluding": "3.8.17",  "version_start_including": "3.7.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: python software foundation

Продукт: python

Операционная система: осон основа оnyx *

Характеристика:

{  "version_end_excluding": "3.9.17",  "version_start_including": "3.9.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: python software foundation

Продукт: python

Операционная система: осон основа оnyx *

Характеристика:

{  "version_end_excluding": "3.10.12",  "version_start_including": "3.10.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: python software foundation

Продукт: python

Операционная система: осон основа оnyx *

Характеристика:

{  "version_end_excluding": "3.6.16"}

Источник: bdu

Тип: Конфигурация

Поставщик: python software foundation

Продукт: python

Операционная система: rosa virtualization 3.0 3.0

Характеристика:

{  "version_end_excluding": "3.11.4",  "version_start_including": "3.11.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: python software foundation

Продукт: python

Операционная система: rosa virtualization 3.0 3.0

Характеристика:

{  "version_end_excluding": "3.8.17",  "version_start_including": "3.7.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: python software foundation

Продукт: python

Операционная система: rosa virtualization 3.0 3.0

Характеристика:

{  "version_end_excluding": "3.9.17",  "version_start_including": "3.9.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: python software foundation

Продукт: python

Операционная система: rosa virtualization 3.0 3.0

Характеристика:

{  "version_end_excluding": "3.10.12",  "version_start_including": "3.10.0"}

Источник: bdu

Тип: Конфигурация

Поставщик: python software foundation

Продукт: python

Операционная система: rosa virtualization 3.0 3.0

Характеристика:

{  "version_end_excluding": "3.6.16"}

Источник: bdu

Конец списка

Каталог уязвимостей Сканер-ВС

BDU:2022-05975

Оценки

EPSS

CVSS

Все оценки CVSS

Разбор вектора

CVSS

Вектор атаки

Сложность атаки

Требуемые привилегии

Взаимодействие с пользователем

Область воздействия

Воздействие на конфиденциальность

Воздействие на целостность

Воздействие на доступность

Разбор вектора

CVSS

Вектор атаки

Сложность атаки

Аутентификация

Воздействие на конфиденциальность

Воздействие на целостность

Воздействие на доступность

Описание

Сканер-ВС 7 — современное решение для управления уязвимостями

Источники

Связанные уязвимости

Эксплойты

Справочные ссылки

Рекомендации

Уязвимое ПО (12)