Vector-Field des Bugs ausgeklappt und detailliert beschrieben.

CVE (Common Vulnerabilities and Exposures) sind eine Liste von "gemeldeten Security Bugs". Der Bug bekommt eine Nummer der Form CVE-Jahreszahl-Folgenummer.

Mit der CVE gibt es in der Regel eine aussagelose Beschreibung und eine "Bewertung" in Form einer dimensionslosen Zahl und einem String, der die Art des Bugs so beschreibt, wie im Internet Sex-Geschichten nach Art der Kinks kategorisiert werden.

Das Zeug wird dann in der National Vulnerability Database vor sich hin verwaltet (mit Nation ist hier selbstverständlich Trumpistan gemeint).

Als Beispiel

https://nvd.nist.gov/vuln/detail/CVE-2025-0332

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Wie haben hier also die Kinks "Attack Vector: Network", "Attack Complexity: Low", "Privileges: None", "User Interaction: None", "Scope: Unchanged", "Confidientiality: High", "Integrity: High" und "Availability: High" und einen Total Score von 9.8/10.

Was das genau bedeutet muß man sich aus dem Beipackzettel zur NVD raus klauben.

Die Beschreibung dann

In Progress® Telerik® UI for WinForms, versions prior to 2025 Q1 (2025.1.211), using the improper limitation of a target path can lead to decompressing an archive's content into a restricted directory.

und ein Link zur OWASP bzw. CWE:

CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

Ist das ein schlimmer Bug?

Das weißt Du nicht. Du weißt nicht, ob ihr die Software einsetzt, wie sie exponiert wird, welche Version ihr einsetzt, ob und wie das durch Eure Konfiguration beeinflußt wird und ob eine Mitigation mehr Schaden anrichten würde als der Bug.

Wie der Score bei Euch ist, oder ob der Score irgendeinen Sinn bei der Mehrzahl der Deployments hat – unklar.

Das heißt, wir bekommen im wesentlichen eine Nummer, eine Beschreibung und einen Link zur Bug-Database des Herstellers.

Public

Vector-Field des Bugs ausgeklappt und detailliert beschrieben.

Notices where this attachment appears