Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-01110

Опубликовано: 16 мар. 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость компонента Apache Flex BlazeDS программного средства для управления устройствами в сетях OnCell Central Manager связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Moxa Inc.
Cisco Systems Inc.
Apache Software Foundation

Наименование ПО

OnCell Central Manager
Nexus Dashboard Fabric Controller
Flex BlazeDS

Версия ПО

до 2.4.1 (OnCell Central Manager)
до 11.5(4) (Nexus Dashboard Fabric Controller)
до 4.7.2 включительно (Flex BlazeDS)

Тип ПО

Сетевое программное средство
Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Moxa Inc.:
https://www.moxa.com/en/support/support/security-advisory/oncell-central-manager-cellular-management-software-vulnerabilities
Для программных продуктов Cisco Systems Inc.:
Обновление программного обеспечения до актуальной версии
Для Apache Flex BlazeDS:
https://lists.apache.org/thread/bgc3ls1z0y58hj1xbbmyx8lp0300cg7p

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.49668
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2017-5641

CVSS3: 9.8
nvd
около 8 лет назад

Previous versions of Apache Flex BlazeDS (4.7.2 and earlier) did not restrict which types were allowed for AMF(X) object deserialization by default. During the deserialization process code is executed that for several known types has undesired side-effects. Other, unknown types may also exhibit such behaviors. One vector in the Java standard library exists that allows an attacker to trigger possibly further exploitable Java deserialization of untrusted data. Other known vectors in third party libraries can be used to trigger remote code execution.

github логотип

GHSA-w8v7-prhw-xjpw

CVSS3: 9.8
github
больше 3 лет назад

Apache Flex BlazeDS unsafe deserialization

EPSS

Процентиль: 98%
0.49668
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2