BDU:2018-00140

Опубликовано: 31 окт. 2017

Источник: fstec

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

Уязвимость программной платформы OpenEdge связана с недостатками контроля доступа при использовании стандартной конфигурации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, загружать и выполнять вредоносные классы Java при помощи специально сформированных URL-адресов с использованием порта 20931

Вендор

Progress Software Corporation

Наименование ПО

OpenEdge

Версия ПО

10.2a (OpenEdge)

10.2b (OpenEdge)

10.2b07 (OpenEdge)

10.2b08 (OpenEdge)

11.0 (OpenEdge)

11.1 (OpenEdge)

11.2 (OpenEdge)

11.3 (OpenEdge)

11.4 (OpenEdge)

11.5 (OpenEdge)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://knowledgebase.progress.com/articles/Article/How-to-prevent-Java-RMI-class-loader-exploit-with-AdminServer

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://knowledgebase.progress.com/articles/Article/How-to-prevent-Java-RMI-class-loader-exploit-with-AdminServer

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-9245
CVE

EPSS

Процентиль: 19%

0.00062

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

CVE-2015-9245

CVSS3: 9.8

nvd

больше 8 лет назад

Insecure default configuration in Progress Software OpenEdge 10.2x and 11.x allows unauthenticated remote attackers to specify arbitrary URLs from which to load and execute malicious Java classes via port 20931.

GHSA-m529-fwhc-gw26

CVSS3: 9.8

github

больше 3 лет назад

EPSS

Процентиль: 19%

0.00062

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2