Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-02869

Опубликовано: 31 июл. 2019
Источник: fstec
CVSS3: 8.2
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость плагина IcedTea-Web связана с ошибками при обработке JNLP файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать произвольные файлы в файловую систему устройства с помощью специально созданного приложения

Вендор

Red Hat Inc.
Novell Inc.
Icetea-web Project
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
SUSE Linux Enterprise Module for Open Buildservice Development Tools
SUSE Linux Enterprise Workstation Extension
IcedTea-Web
ОСОН ОСнова Оnyx

Версия ПО

7 (Red Hat Enterprise Linux)
15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
8 (Red Hat Enterprise Linux)
15 (SUSE Linux Enterprise Workstation Extension)
до 1.7.2 включительно (IcedTea-Web)
1.8.2 (IcedTea-Web)
до 2.6 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для IcedTea-Web:
https://github.com/AdoptOpenJDK/IcedTea-Web/releases/tag/icedtea-web-1.8.3
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-10182
Для программных продуктов Novell Inc.:
https://www.suse.com/fr-fr/security/cve/CVE-2019-10182/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения icedtea-web до версии 1.8.8-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 80%
0.01428
Низкий

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-10182

CVSS3: 8.2
ubuntu
больше 6 лет назад

It was found that icedtea-web though 1.7.2 and 1.8.2 did not properly sanitize paths from <jar/> elements in JNLP files. An attacker could trick a victim into running a specially crafted application and use this flaw to upload arbitrary files to arbitrary locations in the context of the user.

redhat логотип

CVE-2019-10182

CVSS3: 8.2
redhat
больше 6 лет назад

It was found that icedtea-web though 1.7.2 and 1.8.2 did not properly sanitize paths from <jar/> elements in JNLP files. An attacker could trick a victim into running a specially crafted application and use this flaw to upload arbitrary files to arbitrary locations in the context of the user.

nvd логотип

CVE-2019-10182

CVSS3: 8.2
nvd
больше 6 лет назад

It was found that icedtea-web though 1.7.2 and 1.8.2 did not properly sanitize paths from <jar/> elements in JNLP files. An attacker could trick a victim into running a specially crafted application and use this flaw to upload arbitrary files to arbitrary locations in the context of the user.

debian логотип

CVE-2019-10182

CVSS3: 8.2
debian
больше 6 лет назад

It was found that icedtea-web though 1.7.2 and 1.8.2 did not properly ...

github логотип

GHSA-cqfc-r7qj-5fgq

CVSS3: 6.5
github
больше 3 лет назад

It was found that icedtea-web though 1.7.2 and 1.8.2 did not properly sanitize paths from <jar/> elements in JNLP files. An attacker could trick a victim into running a specially crafted application and use this flaw to upload arbitrary files to arbitrary locations in the context of the user.

EPSS

Процентиль: 80%
0.01428
Низкий

8.2 High

CVSS3

8.5 High

CVSS2