Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
F5 BIG-IP TMOS
(13.1.0, 13.1.2, 14.0.0, 14.1.0)
Описание
Перепривязка DNS в инспекторе (inspector) Node.js позволяет злоумышленникам выполнить код удаленно. Атака возможна с вредоносного сайта, открытого в браузере на том же компьютере или другом компьютере с сетевым доступом к компьютеру с запущенным процессом Node.js. Вредоносный сайт может использовать перепривязку DNS, чтобы убедить браузер обойти ограничения политики доступа и получить разрешение на HTTP-подключения к localhost или узлам в локальной сети. Если процесс Node.js с активным портом отладки запущен на localhost или узле в локальной сети, вредоносный сайт может подключиться к нему в качестве отладчика и получить полные права на выполнение кода.
Как исправить
Используйте рекомендации производителя:
https://my.f5.com/manage/s/article/K63025104
https://my.f5.com/manage/s/article/K63025104
Ссылки
Источник: CVE
Наименование: CVE-2018-7160
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7160
https://my.f5.com/manage/s/article/K63025104
Наименование: CVE-2018-7160
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7160
https://my.f5.com/manage/s/article/K63025104