BDU:2024-02977: Уязвимость комплекса средств по обнаружению угроз для сред Интернета вещей Microsoft Defender for IoT, связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость комплекса средств по обнаружению угроз для сред Интернета вещей Microsoft Defender for IoT связана с неверным ограничением имени пути к каталогу при загрузке файлов формата tar. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор Microsoft Corp.
Наименование ПО Defender for IoT
Версия ПО до 24.1.3
Тип ПО Прикладное ПО информационных систем
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Обход абсолютного пути: ‘…/…//’
Идентификатор типа ошибки CWE-36
Класс уязвимости Уязвимость кода
Дата выявления 09.04.2024
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
  • CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21323
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются