Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-01960

Опубликовано: 23 янв. 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Высокий

Описание

Уязвимость метода org.apache.xmlrpc.parser.XmlRpcResponseParser:addResult библиотеки Apache XML-RPC связана с ошибкой десериализации исключения серверной стороны, сериализованного в атрибуте faultCause ответных сообщений XMLRPC об ошибках. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Fedora Project
Apache Software Foundation
АО «НТЦ ИТ РОСА»

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
Red Hat Virtualization
Red Hat JBoss Fuse
Red Hat Software Collections
Fedora
XML-RPC
ROSA Virtualization

Версия ПО

7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
4 (Red Hat Virtualization)
7 (Red Hat JBoss Fuse)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
- (Red Hat Software Collections)
6 (Red Hat JBoss Fuse)
32 (Fedora)
до 3.1.3-7 (XML-RPC)
2.1 (ROSA Virtualization)

Тип ПО

Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 32
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache:
Обновление программного обеспечения до 3.1.3-9+deb10u1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета libxmlrpc3-java) до 3.1.3-9+deb10u1 или более поздней версии
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-17570
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/I3QCRLJYQRGVTIYF4BXYRFSF3ONP3TBF/
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2778

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.70524
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-17570

CVSS3: 9.8
ubuntu
около 6 лет назад

An untrusted deserialization was found in the org.apache.xmlrpc.parser.XmlRpcResponseParser:addResult method of Apache XML-RPC (aka ws-xmlrpc) library. A malicious XML-RPC server could target a XML-RPC client causing it to execute arbitrary code. Apache XML-RPC is no longer maintained and this issue will not be fixed.

redhat логотип

CVE-2019-17570

CVSS3: 9.8
redhat
около 6 лет назад

An untrusted deserialization was found in the org.apache.xmlrpc.parser.XmlRpcResponseParser:addResult method of Apache XML-RPC (aka ws-xmlrpc) library. A malicious XML-RPC server could target a XML-RPC client causing it to execute arbitrary code. Apache XML-RPC is no longer maintained and this issue will not be fixed.

nvd логотип

CVE-2019-17570

CVSS3: 9.8
nvd
около 6 лет назад

An untrusted deserialization was found in the org.apache.xmlrpc.parser.XmlRpcResponseParser:addResult method of Apache XML-RPC (aka ws-xmlrpc) library. A malicious XML-RPC server could target a XML-RPC client causing it to execute arbitrary code. Apache XML-RPC is no longer maintained and this issue will not be fixed.

debian логотип

CVE-2019-17570

CVSS3: 9.8
debian
около 6 лет назад

An untrusted deserialization was found in the org.apache.xmlrpc.parser ...

github логотип

GHSA-6vwp-35w3-xph8

CVSS3: 9.8
github
больше 5 лет назад

Insecure Deserialization in Apache XML-RPC

EPSS

Процентиль: 99%
0.70524
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2