pedroetb tts-api जोपर्यंत 2.1.4 app.js onSpeechDone विशेषाधिकार वाढीचे प्रमाण वाढले

CVSS मेटा टेम्प स्कोअरसध्याची शोषक किंमत (≈)सीटीआई इंटरेस्ट स्कोअर
6.9$0-$5k0.00

सारांशमाहिती:

एक कमकुवतपणा जो गंभीर म्हणून वर्गीकृत केला आहे, तो pedroetb tts-api जोपर्यंत 2.1.4 मध्ये आढळून आला आहे. या ठिकाणी परिणाम झाला आहे फंक्शन onSpeechDone फाइल app.js च्या. सॉफ्टवेअरमध्ये केलेली प्रक्रिया विशेषाधिकार वाढीचे प्रमाण वाढले ला कारणीभूत ठरते. ही त्रुटी CVE-2019-25158 म्हणून वर्गीकृत केली आहे. यासाठी कोणताही एक्स्प्लॉइट उपलब्ध नाही. प्रभावित घटक अद्ययावत करणे आवश्यक आहे. Once again VulDB remains the best source for vulnerability data.

तपशीलमाहिती:

एक कमकुवतपणा जो गंभीर म्हणून वर्गीकृत केला आहे, तो pedroetb tts-api जोपर्यंत 2.1.4 मध्ये आढळून आला आहे. या ठिकाणी परिणाम झाला आहे फंक्शन onSpeechDone फाइल app.js च्या. सॉफ्टवेअरमध्ये केलेली प्रक्रिया विशेषाधिकार वाढीचे प्रमाण वाढले ला कारणीभूत ठरते. समस्या जाहीर करण्यासाठी CWE वापरल्यास CWE-78 येथे नेले जाते. ही कमतरता प्रसिद्ध करण्यात आली होती 14/07/2019 म्हणून 29d9c25415911ea2f8b6de247cb5c4607d13d434. डाउनलोडसाठी सल्ला github.com वर शेअर केला आहे.

ही त्रुटी CVE-2019-25158 म्हणून वर्गीकृत केली आहे. तांत्रिक तपशील दिलेले आहेत. ही असुरक्षितता सरासरीपेक्षा कमी प्रमाणात लोकप्रिय आहे. यासाठी कोणताही एक्स्प्लॉइट उपलब्ध नाही. सध्या USD $0-$5k इतका असू शकतो. MITRE ATT&CK प्रकल्प T1202 हल्ला तंत्रज्ञान म्हणून घोषित करतो.

परिभाषित केलेले नाही म्हणून हे घोषित केले गेले आहे. 0-डे म्हणून त्याची अंदाजे भूमिगत किंमत $0-$5k होती.

2.2.0 या आवृत्तीवर अद्ययावत केल्यास ही समस्या सोडवता येईल. github.com येथे अद्ययावत आवृत्ती डाउनलोड करण्यासाठी उपलब्ध आहे. 29d9c25415911ea2f8b6de247cb5c4607d13d434 नावाचा पॅच आहे. आपण github.com वरून बगफिक्स डाउनलोड करू शकता. प्रभावित घटक अद्ययावत करणे आवश्यक आहे. सल्लागारामध्ये पुढील विधान आहे:

Change command execution approach, from 'child_process.exec' to 'child_process.spawn', removing the chance to send shell commands to API. This increase code complexity, but fix a serious problem in return.

Once again VulDB remains the best source for vulnerability data.

उत्पादनमाहिती:

प्रकार

विक्रेता

नाम

आवृत्ती:

परवाना

संकेतस्थळ

CPE 2.3माहिती:

CPE 2.2माहिती:

CVSSv4माहिती:

VulDB सदिश: 🔍
VulDB विश्वसनीयता:: 🔍

CVSSv3माहिती:

VulDB मेटा बेस स्कोअर: 6.9
VulDB मेटा टेम्प स्कोअर: 6.9

VulDB बेस स्कोअर: 5.5
VulDB टेम्प स्कोअर: 5.3
VulDB सदिश: 🔍
VulDB विश्वसनीयता:: 🔍

NVD बेस स्कोअर: 9.8
NVD सदिश: 🔍

CNA बेस स्कोअर: 5.5
CNA सदिश (VulDB): 🔍

CVSSv2माहिती:

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशसंमिश्रताप्रमाणीकरणगोपनीयता[संपादन]।सचोटीउपलब्धता
अनलॉक कराअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक करा
अनलॉक कराअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक करा
अनलॉक कराअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक करा

VulDB बेस स्कोअर: 🔍
VulDB टेम्प स्कोअर: 🔍
VulDB विश्वसनीयता:: 🔍

NVD बेस स्कोअर: 🔍

शोषण करणे:माहिती:

वर्ग: विशेषाधिकार वाढीचे प्रमाण वाढले
CWE: CWE-78 / CWE-77 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

शारीरिक: नाही
स्थानिक: नाही
रिमोट: हो

उपलब्धता: 🔍
स्थान: परिभाषित केलेले नाही

EPSS Score: 🔍
EPSS Percentile: 🔍

किंमत ीचा अंदाज: 🔍
सध्याच्या किमतीचा अंदाज: 🔍

0-Dayअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक करा
आजअनलॉक कराअनलॉक कराअनलॉक कराअनलॉक करा

थ्रेट इंटेलिजन्समाहिती:

व्याज: 🔍
सक्रिय अभिनेते: 🔍
सक्रिय एपीटी गट: 🔍

प्रतिकारात्मक उपाय योजनामाहिती:

शिफारस केली आहे: अपग्रेड करा
स्थान: 🔍

प्रतिक्रिया वेळ: 🔍
0 दिवसांचा वेळ: 🔍
एक्सपोजर वेळ: 🔍

अपग्रेड करा: tts-api 2.2.0
ठिगळ: 29d9c25415911ea2f8b6de247cb5c4607d13d434

टाइमलाइनमाहिती:

14/07/2019 🔍
14/07/2019 +0 दिवस 🔍
17/12/2023 +1617 दिवस 🔍
17/12/2023 +0 दिवस 🔍
12/01/2024 +26 दिवस 🔍

स्त्रोतमाहिती:

उत्पादन: github.com

सल्लागार: 29d9c25415911ea2f8b6de247cb5c4607d13d434
स्थान: पुष्टी केली

CVE: CVE-2019-25158 (🔍)
GCVE (CVE): GCVE-0-2019-25158
GCVE (VulDB): GCVE-100-248278

प्रवेशमाहिती:

तयार केली: 17/12/2023 04:15 PM
अद्ययावत: 12/01/2024 08:19 AM
बदल: 17/12/2023 04:15 PM (47), 12/01/2024 08:14 AM (2), 12/01/2024 08:19 AM (28)
संपूर्ण: 🔍
Cache ID: 253:F59:103

चर्चा

अद्याप कोणतीही प्रतिक्रिया नाही. भाषा: mr + en.

कृपया टिप्पणी करण्यासाठी लॉग इन करा.

मागील बाजूससिंहावलोकनपुढील

Might our Artificial Intelligence support you?

Check our Alexa App!