Тип ошибки:
CWE-200:Exposure of Sensitive Information to an Unauthorized Actor
Вектор уязвимости:
- Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
- Уровень критичности уязвимости (CVSSv4.0): 9.3 (Critical)
Описание уязвимости:
В Booco была выявлена проблема, затрагивающая версии 2.38, 2.39.
Обнаруженная уязвимость может быть использована неавторизованным злоумышленником для получения прав администратора системы, в том числе, получить доступ ко всем ее данным и функционалу.
Статус уязвимости: Подтверждена производителем
Дата исправления уязвимости: 14.05.2025
Рекомендации:
- Обновление до версии 2.38.6 (для ветки 2.38), до версии 2.39.2 (для ветки 2.39)
- Обновление до версии 2.40.0 или выше
Прочая информация: Бюллетень по безопасности
Исследователь: Всеволод Дергунов (Positive Technologies)
Идентификаторы:
BDU:2025-06891
Вендор:
ООО "Системы Буко"
Уязвимый продукт:
Booco
Уязвимые версии:
2.38, 2.39