CVE-2021-46878
Оценки
EPSS
Процентиль: 0.0%
CVSS
Оценка CVSS: 7.8/10
Все оценки CVSS
Вектор: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Локальная (L)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Требуемые привилегии
Отсутствуют (N)
Описывает уровень привилегий, которыми должен обладать атакующий
Взаимодействие с пользователем
Требуется (R)
Отражает требование участия человека в атаке
Область воздействия
Неизменная (U)
Определяет, влияет ли успешная атака на компоненты за пределами уязвимого компонента
Воздействие на конфиденциальность
Высокое (H)
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Высокое (H)
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Высокое (H)
Измеряет воздействие на доступность затронутого компонента
Описание
В Treasure Data Fluent Bit 1.7.1 была обнаружена проблема, неверный разбор в flb_pack_msgpack_to_json_format приводит к ошибке путаницы типов, которая интерпретирует все, что находится в стеке, как msgpack карты и массивы, что приводит к использованию после освобождения. Злоумышленник может использовать это для создания специально подготовленного файла и обмануть жертву, открыв его с использованием затронутого программного обеспечения, что приведет к использованию после освобождения и выполнению произвольного кода на целевой системе.
Сканер-ВС 7 — современное решение для управления уязвимостями
Источники
CWE
Уязвимое ПО (1)
Тип: Конфигурация
Поставщик: treasuredata
Продукт: fluent_bit
Операционная система: * * *
{ "cpe_match": [ { "cpe23uri": "cpe:2.3:a:treasuredata:fluent_bit:1.7.1:*:*:*:*:*:*:*", "vulnerable": true } ], "operator": "OR"}
Источник: nvd