BDU:2023-00036

Scores

EPSS

0.000none0.0%

0%20%40%60%80%100%

Percentile: 0.0%

CVSS

9.8critical3.x

0246810

CVSS Score: 9.8/10

All CVSS Scores

CVSS 3.x

9.8

Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0

10.0

Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C

Description

Уязвимость библиотеки для создания PDF-файлов pdfkit связана с недостаточной проверкой аргументов, передаваемых в команду. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды

Scaner-VS 7 — a modern vulnerability management solution

Uses this database for vulnerability detection. High-speed search, cross-platform, advanced configuration audit, and flexible filtering. Suitable for organizations of any size.

Learn more about Scaner-VS 7

Sources

bdu

Related Vulnerabilities

CVE-2022-25765

Exploits

Exploit ID: CVE-2022-25765

Source: github-poc

URL: https://github.com/lst15/pdfkit-cve-2022-25765

Reference Links

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-25765

https://lists.fedoraproject.org/archives/list/package-announce

lists.fedoraproject.org/message/C36GAV3TKM3JXV6UVMLMTTDRCPKSNETQ/

https://lists.fedoraproject.org/archives/list/package-announce

lists.fedoraproject.org/message/ESWB6SX7HYWQ54UGBGQOZ7G24O6RAOKD/

https://lists.fedoraproject.org/archives/list/package-announce

lists.fedoraproject.org/message/JFB2BFKH5SUGRKXMY6PWRQNGKZML7GDT/

https://security.snyk.io/vuln/SNYK-RUBY-PDFKIT-2869795

https://github.com/pdfkit/pdfkit/blob/master/lib/pdfkit/source.rb#L44-L50

https://github.com/pdfkit/pdfkit/commit/c99414936e77730094dc8f9026dd109b6b4da5ad

https://github.com/pdfkit/pdfkit/pull/509

Recommendations

Source: bdu

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Использование рекомендаций:
Для pdfkit:
Обновление программного обеспечения до версии 0.8.7 и выше

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/C36GAV3TKM3JXV6UVMLMTTDRCPKSNETQ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ESWB6SX7HYWQ54UGBGQOZ7G24O6RAOKD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JFB2BFKH5SUGRKXMY6PWRQNGKZML7GDT/

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для фильтрации параметров, передаваемых PDFKit;
- очистка пользовательских данных, передаваемых в PDFKit для формирования URL-адреса.

URL: https://bdu.fstec.ru/vul/2023-00036

Vulnerable Software (4)

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: pdfkit

Operating System: linux *

Trait:

{  "version_end_excluding": "0.8.7"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: pdfkit

Operating System: fedora 35

Trait:

{  "version_end_excluding": "0.8.7"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: pdfkit

Operating System: fedora 36

Trait:

{  "version_end_excluding": "0.8.7"}

Source: bdu

Type: Configuration

Vendor: сообщество свободного программного обеспечения

Product: pdfkit

Operating System: fedora 37

Trait:

{  "version_end_excluding": "0.8.7"}

Source: bdu

End of list

Russian Vulnerability Scanner Database

BDU:2023-00036

Scores

EPSS

CVSS

All CVSS Scores

Vector Breakdown

CVSS

Attack Vector

Attack Complexity

Privileges Required

User Interaction

Scope

Confidentiality Impact

Integrity Impact

Availability Impact

Vector Breakdown

CVSS

Attack Vector

Attack Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Description

Scaner-VS 7 — a modern vulnerability management solution

Sources

Related Vulnerabilities

Exploits

Reference Links

Recommendations

Vulnerable Software (4)