BDU:2023-06644: Уязвимость компонента upload-cover-image.pl программного обеспечения автоматизации библиотечных процессов Koha, позволяющая нарушителю считывать произвольные файлы

Описание уязвимости

Уязвимость компонента upload-cover-image.pl программного обеспечения автоматизации библиотечных процессов Koha связана с отсутствием фильтрации передаваемого клиентом пути. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, считывать произвольные файлы

Вендор

Koha Community Org

Наименование ПО

Koha

Версия ПО

  • 23.05.04

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Обход пути: ‘..\\filedir’

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

05.10.2023

Базовый вектор уязвимости

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учетных записей пользователей;
- использование средств межсетевого экранирования для ограничения возможности удаленного доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа из внешних сетей (Интернет).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Манипулирование ресурсами

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения