BDU:2016-00358

Опубликовано: 03 янв. 2016

Источник: fstec

CVSS2: 10

EPSS Критический

Описание

Уязвимость класса InvokerTransformer бибилиотеки Apache Commons Collections средства централизованного сбора и анализа данных IBM Tivoli Common Reporting связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды при помощи специально сформированного сериализованного Java-объекта

Вендор

IBM Corp.

Наименование ПО

IBM Tivoli Common Reporting

Версия ПО

2.1 (IBM Tivoli Common Reporting)

2.1.1 (IBM Tivoli Common Reporting)

2.1.1.2 (IBM Tivoli Common Reporting)

3.1 (IBM Tivoli Common Reporting)

3.1.0.1 (IBM Tivoli Common Reporting)

3.1.0.2 (IBM Tivoli Common Reporting)

3.1.2 (IBM Tivoli Common Reporting)

3.1.2.1 (IBM Tivoli Common Reporting)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя: http://www-01.ibm.com/support/docview.wss?uid=swg21972799

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7450
CVE

EPSS

Процентиль: 100%

0.93487

Критический

10 Critical

CVSS2

Связанные уязвимости

CVE-2015-7450

CVSS3: 9.8

nvd

около 10 лет назад

Serialized-object interfaces in certain IBM analytics, business solutions, cognitive, IT infrastructure, and mobile and social products allow remote attackers to execute arbitrary commands via a crafted serialized Java object, related to the InvokerTransformer class in the Apache Commons Collections library.

GHSA-8987-qgc7-79p9