CVE-2019-15900Критический
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
В slicer69 doas до версии 6.2 на определенных платформах, отличных от OpenBSD, обнаружена проблема. На платформах без strtonum(3) использов…
CVSS
9.8
Критический
EPSS
0.02
p79
Опубликовано
2019-01-01
Обновлено
2019-01-01
Описание
В slicer69 doas до версии 6.2 на определенных платформах, отличных от OpenBSD, обнаружена проблема. На платформах без strtonum(3) использовалась функция sscanf без проверки на наличие ошибок. Вместо этого проверялась неинициализированная переменная errstr и в некоторых случаях возвращала успех, даже если sscanf завершалась неудачно. В результате вместо сообщения о том, что предоставленное имя пользователя или группы не существует, команда выполнялась от имени root.
Теги · CWE
Без аутентификации
CWE-252
CWE-252БазаЧерновик
Непроверяемое возвращаемое значение
Продукт не проверяет возвращаемое значение метода или функции, что не позволяет обнаружить неожиданные состояния и условия.
https://cwe.mitre.org/data/definitions/252.html →Открыть в коллекции CWE →Затронутые продукты
Doas < 6.2
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Хронология
2019-01-01
Опубликована
2019-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.021 · p79
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Источники данных
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →