BDU:2020-02367: Уязвимость компонента межпроцессного взаимодействия средств антивирусной защиты Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free, Kaspersky Security Cloud, Kaspersky Password Manager, Kaspersky Safe Kids, Kaspersky Software Updater, Kaspersky Endpoint Security, Kaspersky Small Office Security, Kaspersky Anti Targeted Attack Agent, позволяющая нарушителю выполнить произвольный код
Детали уязвимости BDU:2020-02367
Описание
Уязвимость компонента межпроцессного взаимодействия средств антивирусной защиты Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free, Kaspersky Security Cloud, Kaspersky Password Manager, Kaspersky Safe Kids, Kaspersky Software Updater, Kaspersky Endpoint Security, Kaspersky Small Office Security, Kaspersky Anti Targeted Attack Agent существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Что делать с BDU:2020-02367
Уязвимость среднего уровня (CVSS 8.8) — устраните в рамках планового цикла обновлений. Рекомендуемый срок — 30 дней. Оцените применимость к вашей инфраструктуре через список затронутого ПО.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HAV:L/AC:L/Au:S/C:C/I:C/A:CCWE — тип уязвимости
Программа не проверяет или неправильно проверяет входные данные. Базовая причина большинства инъекций и переполнений.
Как атакуют и что делать ▾
Сценарий атаки
Атакующий отправляет неожиданный ввод: отрицательные числа, спецсимволы, сверхдлинные строки — программа обрабатывает их без проверки.
Последствия
Базовая причина большинства инъекций, переполнений и логических ошибок.
Рекомендации
Валидируйте все входные данные по white-list, ограничивайте длину, тип и диапазон значений.
Тактики и техники
Уязвимое ПО (22)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| АО «Лаборатория Касперского» | Kaspersky Anti-Virus | до 2019 патч H | Не указана |
| АО «Лаборатория Касперского» | Kaspersky Anti-Virus | до 2020 патч D | Не указана |
| АО «Лаборатория Касперского» | Kaspersky Internet Security | до 2019 патч H | Не указана |
| АО «Лаборатория Касперского» | Kaspersky Internet Security | до 2020 патч D | Не указана |
| АО «Лаборатория Касперского» | Kaspersky Total Security | до 2019 патч H | Не указана |
| АО «Лаборатория Касперского» | Kaspersky Total Security | до 2020 патч D | Не указана |
| АО «Лаборатория Касперского» | Kaspersky Free Anti-Virus | до 2019 патч H | Не указана |
| АО «Лаборатория Касперского» | Kaspersky Free Anti-Virus | до 2020 патч D | Не указана |
| АО «Лаборатория Касперского» | Kaspersky Security Cloud | до 2019 патч H | Не указана |
| АО «Лаборатория Касперского» | Kaspersky Security Cloud | до 2020 патч D | Не указана |
| АО «Лаборатория Касперского» | Kaspersky Password Manager | до 9.2 Patch C | Не указана |
| АО «Лаборатория Касперского» | Kaspersky Safe Kids | до 1.5 Patch C | Не указана |
| АО «Лаборатория Касперского» | Kaspersky Software Updater | до 2.1 Patch A | Не указана |
| АО «Лаборатория Касперского» | Kaspersky Endpoint Security | до 10 SP2 pf3223 | Windows |
| АО «Лаборатория Касперского» | Kaspersky Endpoint Security | до 10 SP2 MR3 pf3528 | Windows |
| АО «Лаборатория Касперского» | Kaspersky Endpoint Security | до 11.0.0 pf5145 | Windows |
| АО «Лаборатория Касперского» | Kaspersky Endpoint Security | до 11.0.1 pf5352 | Windows |
| АО «Лаборатория Касперского» | Kaspersky Endpoint Security | до 11.1 pf7063 | Windows |
| АО «Лаборатория Касперского» | Kaspersky Endpoint Security | до 11.1.1 pf7523 | Windows |
| АО «Лаборатория Касперского» | Kaspersky Small Office Security | до 6 patch H | Windows |
| АО «Лаборатория Касперского» | Kaspersky Small Office Security | до 7 patch D | Windows |
| АО «Лаборатория Касперского» | Kaspersky Anti Targeted Attack Agent | до 3.6.1 | Не указана |
Рекомендации по устранению
Использование рекомендаций: https://support.kaspersky.ru/general/vulnerability.aspx?el=12430#260220
SLA ФСТЭК №117
7 дней
по базовой оценке CVSS 8.8
Уточните SLA под вашу среду
Базовый балл 8.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.
Пересчитать CVSS с учётом средыThreat Intelligence
SSVC: Отслеживать (повышенный)
Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.
Информация
Обнаружена
2020-02-26
Опубликована
2020-05-28
Обновлена
2020-05-28
Эксплойт
Данные уточняются
Исправление
Уязвимость устранена
Статус
Подтверждена производителем
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Внешние ресурсы
Связанные уязвимости
BDU:2025-14047Уязвимость средства антивирусной защиты Kaspersky Industrial CyberSecurity for Linux Nodes и Kaspersky Endpoint Security
BDU:2025-09471Уязвимость средств антивирусной защиты «Лаборатории Касперского», связанная с ошибкой обработки определенных выражений,
BDU:2025-01472Уязвимость средств антивирусной защиты Kaspersky Virus Removal Tool for Windows, Kaspersky Endpoint Security for Windows
BDU:2024-01525Уязвимость средства антивирусной защиты Kaspersky Endpoint Security для Windows, связанная с небезопасным управлением пр
BDU:2025-01345Уязвимость средств антивирусной защиты Kaspersky Anti-Virus SDK for Windows, Kaspersky Security for Virtualization Light
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.