SK-CERT Bezpečnostné varovanie V20211027-05
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP WHITE |
| CVSS Skóre |
8.8 |
| Identifikátor |
| Ua-parser-js – kritická bezpečnostná zraniteľnosť |
| Popis |
| Vývojári balíka ua-parser-js vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú bezpečnostnú zraniteľnosť. Tri verzie npm balíka ua-parser-js boli publikované s podvrhnutým škodlivým kódom čo umožňuje vzdialenému, neautentifikovanému útočníkovi vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
| Dátum prvého zverejnenia varovania |
| 23.10.2021 |
| CVE |
| IOC |
| – |
| Zasiahnuté systémy |
| Ua-parser-js vo verzii staršej ako 0.7.30 Ua-parser-js vo verzii staršej ako 0.8.1 Ua-parser-js vo verzii staršej ako 1.0.1 |
| Následky |
| Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
| Odporúčania |
| Odporúčame uistiť sa, či Vaše aplikácie nevyužívajú frameworky, knižnice, pluginy, SDK alebo moduly v zraniteľnej verzii. V prípade, že áno, zabezpečte aktualizáciu všetkých komponentov, od ktorých závisí vaša aplikácia, na aktuálne verzie bez známych bezpečnostných zraniteľností. Používatelia, ktorí mali nainštalované postihnuté verzie knižníc (0.7.29, 0.8.0, 1.0.0) by mali po aktualizácii skontrolovať svoje systémy na podozrivé aktivity. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. |
« Späť na zoznam
