Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02364

Опубликовано: 07 окт. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 9.3
EPSS Низкий

Описание

Уязвимость Java-библиотеки Nimbus JOSE + JWT связана с недостаточной проверкой необычных или исключительных состояний. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации

Вендор

Oracle Corp.
Apache Software Foundation
Connect2id Ltd.

Наименование ПО

WebLogic Server
Primavera Gateway
Hadoop
Nimbus JOSE + JWT

Версия ПО

12.2.1.3.0 (WebLogic Server)
12.2.1.4.0 (WebLogic Server)
19.12.0 (Primavera Gateway)
3.2.1 (Hadoop)
до 7.9 (Nimbus JOSE + JWT)

Тип ПО

Сетевое программное средство
Прикладное ПО информационных систем
ПО для разработки ИИ

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Nimbus JOSE + JWT:
https://connect2id.com/blog/nimbus-jose-jwt-7-9
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
Для Apache:
https://lists.apache.org/thread.html/8768553cda5838f59ee3865cac546e824fa740e82d9dc2a7fc44e80d@%3Ccommon-dev.hadoop.apache.org%3E
https://lists.apache.org/thread.html/e10d43984f39327e443e875adcd4a5049193a7c010e81971908caf41@%3Ccommon-issues.hadoop.apache.org%3E

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 90%
0.05194
Низкий

9.8 Critical

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2019-17195

CVSS3: 6.5
redhat
больше 6 лет назад

Connect2id Nimbus JOSE+JWT before v7.9 can throw various uncaught exceptions while parsing a JWT, which could result in an application crash (potential information disclosure) or a potential authentication bypass.

nvd логотип

CVE-2019-17195

CVSS3: 9.8
nvd
больше 6 лет назад

Connect2id Nimbus JOSE+JWT before v7.9 can throw various uncaught exceptions while parsing a JWT, which could result in an application crash (potential information disclosure) or a potential authentication bypass.

github логотип

GHSA-f6vf-pq8c-69m4

CVSS3: 9.8
github
больше 6 лет назад

Improper Check for Unusual or Exceptional Conditions in Connect2id Nimbus JOSE+JWT

EPSS

Процентиль: 90%
0.05194
Низкий

9.8 Critical

CVSS3

9.3 Critical

CVSS2