CVE-2018-14720

Опубликовано: 02 янв. 2019

Источник: debian

EPSS Низкий

Описание

FasterXML jackson-databind 2.x before 2.9.7 might allow attackers to conduct external XML entity (XXE) attacks by leveraging failure to block unspecified JDK classes from polymorphic deserialization.

Пакеты

Пакет	Статус	Версия исправления	Релиз	Тип
jackson-databind	fixed	2.9.8-1		package

Примечания

https://github.com/FasterXML/jackson-databind/commit/87d29af25e82a249ea15858e2d4ecbf64091db44
https://github.com/FasterXML/jackson-databind/issues/2097

EPSS

Процентиль: 85%

0.02518

Низкий

Связанные уязвимости

CVE-2018-14720

CVSS3: 9.8

ubuntu

около 7 лет назад

FasterXML jackson-databind 2.x before 2.9.7 might allow attackers to conduct external XML entity (XXE) attacks by leveraging failure to block unspecified JDK classes from polymorphic deserialization.

CVE-2018-14720

CVSS3: 7.5

redhat

больше 7 лет назад

FasterXML jackson-databind 2.x before 2.9.7 might allow attackers to conduct external XML entity (XXE) attacks by leveraging failure to block unspecified JDK classes from polymorphic deserialization.

CVE-2018-14720

CVSS3: 9.8

nvd

около 7 лет назад

FasterXML jackson-databind 2.x before 2.9.7 might allow attackers to conduct external XML entity (XXE) attacks by leveraging failure to block unspecified JDK classes from polymorphic deserialization.

GHSA-x2w5-5m2g-7h5m

CVSS3: 9.8

github

около 7 лет назад

XML External Entity Reference (XXE) in jackson-databind

BDU:2019-01756

CVSS3: 9.8

fstec

больше 7 лет назад

Уязвимость библиотеки jackson-databind, связанная с ошибкой ограничения XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку

EPSS

Процентиль: 85%

0.02518

Низкий