Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-01372

Опубликовано: 02 янв. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость библиотеки Jackson-databind вызвана отсутствием защиты класса slf4j-ext от полиморфной десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Oracle Corp.
FasterXML, LLC
Сообщество свободного программного обеспечения
Red Hat Inc.

Наименование ПО

Primavera Unifier
WebCenter Portal
Jackson-databind
Oracle Retail Merchandising System
Oracle JDeveloper
Debian GNU/Linux
OpenShift Container Platform
Communications Billing and Revenue Management
NoSQL Database
Financial Services Analytical Applications Infrastructure
Enterprise Manager for Virtualization
Banking Platform

Версия ПО

16.2 (Primavera Unifier)
16.1 (Primavera Unifier)
от 17.1 до 17.12 включительно (Primavera Unifier)
12.2.1.3.0 (WebCenter Portal)
до 2.6.7.2 (Jackson-databind)
от 2.7.0 до 2.7.9.5 (Jackson-databind)
от 2.8.0 до 2.8.11.3 (Jackson-databind)
от 2.9.0 до 2.9.7 (Jackson-databind)
15.0 (Oracle Retail Merchandising System)
16.0 (Oracle Retail Merchandising System)
12.1.3.0.0 (Oracle JDeveloper)
12.2.1.3.0 (Oracle JDeveloper)
8 (Debian GNU/Linux)
3.9 (OpenShift Container Platform)
3.7 (OpenShift Container Platform)
3.6 (OpenShift Container Platform)
7.5 (Communications Billing and Revenue Management)
12.0 (Communications Billing and Revenue Management)
18.8 (Primavera Unifier)
до 19.3.12 включительно (NoSQL Database)
от 8.0.2 до 8.0.8 (Financial Services Analytical Applications Infrastructure)
13.2.2 (Enterprise Manager for Virtualization)
13.2.3 (Enterprise Manager for Virtualization)
13.3.1 (Enterprise Manager for Virtualization)
2.5.0 (Banking Platform)
2.6.0 (Banking Platform)
2.6.1 (Banking Platform)
2.6.2 (Banking Platform)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство
Операционная система
СУБД

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до более поздней версии
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2018-14718

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.14515
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-14718

CVSS3: 9.8
ubuntu
около 7 лет назад

FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the slf4j-ext class from polymorphic deserialization.

redhat логотип

CVE-2018-14718

CVSS3: 8.1
redhat
больше 7 лет назад

FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the slf4j-ext class from polymorphic deserialization.

nvd логотип

CVE-2018-14718

CVSS3: 9.8
nvd
около 7 лет назад

FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the slf4j-ext class from polymorphic deserialization.

debian логотип

CVE-2018-14718

CVSS3: 9.8
debian
около 7 лет назад

FasterXML jackson-databind 2.x before 2.9.7 might allow remote attacke ...

github логотип

GHSA-645p-88qh-w398

CVSS3: 9.8
github
около 7 лет назад

Arbitrary Code Execution in jackson-databind

EPSS

Процентиль: 94%
0.14515
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2