Описание
Уязвимость компонента commons-jelly библиотеки Jackson-databind проекта FasterXML связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе
Вендор
Oracle Corp.
ООО «РусБИТех-Астра»
Red Hat Inc.
Сообщество свободного программного обеспечения
FasterXML, LLC
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»
Наименование ПО
Primavera Unifier
WebCenter Portal
WebLogic Server
Oracle Retail Customer Management and Segmentation Foundation
Oracle Retail Merchandising System
Astra Linux Common Edition
Red Hat Enterprise Linux
Database Server
Debian GNU/Linux
Jboss Fuse
Retail Xstore Point of Service
OpenShift Application Runtimes
Red Hat Single Sign-On
JBoss Enterprise Application Platform Continuous Delivery
Enterprise Manager Base Platform
Red Hat Descision Manager
Oracle Agile PLM
Communications Instant Messaging Server
Siebel UI Framework
Jackson-databind
Oracle Communications Contacts Server
Oracle Communications Evolved Communications Application Server
Communications Network Charging and Control
JD Edwards EnterpriseOne Orchestrator
JD Edwards EnterpriseOne Tools
Communications Billing and Revenue Management
Oracle Retail Sales Audit
Siebel Engineering - Installer & Deployment
GoldenGate Stream Analytics
Red Hat Process Automation
Oracle Global Lifecycle Management OPatch
Communications Calendar Server
JBoss Data Grid
Banking Platform
РОСА ХРОМ
ОС ОН «Стрелец»
Версия ПО
16.2 (Primavera Unifier)
16.1 (Primavera Unifier)
12.2.1.3.0 (WebCenter Portal)
12.2.1.3.0 (WebLogic Server)
18.0 (Oracle Retail Customer Management and Segmentation Foundation)
15.0 (Oracle Retail Merchandising System)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
12.2.0.1 (Database Server)
18c (Database Server)
19c (Database Server)
8 (Debian GNU/Linux)
7 (Jboss Fuse)
18.8 (Primavera Unifier)
15.0 (Retail Xstore Point of Service)
16.0 (Retail Xstore Point of Service)
17.0 (Retail Xstore Point of Service)
18.0 (Retail Xstore Point of Service)
1.0 (OpenShift Application Runtimes)
19.0.0 (Retail Xstore Point of Service)
7 (Red Hat Single Sign-On)
- (JBoss Enterprise Application Platform Continuous Delivery)
12.2.1.4.0 (WebLogic Server)
13.3.0.0 (Enterprise Manager Base Platform)
7 (Red Hat Descision Manager)
19.12 (Primavera Unifier)
от 17.7 до 17.12 включительно (Primavera Unifier)
12.2.1.4.0 (WebCenter Portal)
9.3.6 (Oracle Agile PLM)
13.4.0.0 (Enterprise Manager Base Platform)
10.0.1.4.0 (Communications Instant Messaging Server)
до 20.5 включительно (Siebel UI Framework)
от 2.0 до 2.9.10.4 (Jackson-databind)
8.0.0.4.0 (Oracle Communications Contacts Server)
7.1 (Oracle Communications Evolved Communications Application Server)
6.0.1 (Communications Network Charging and Control)
от 12.0.0 до 12.0.3 включительно (Communications Network Charging and Control)
до 9.2.4.2 (JD Edwards EnterpriseOne Orchestrator)
до 9.2.4.2 (JD Edwards EnterpriseOne Tools)
7.5.0.23.0 (Communications Billing and Revenue Management)
12.0.0.3.0 (Communications Billing and Revenue Management)
14.1 (Oracle Retail Sales Audit)
до 2.20.5 включительно (Siebel Engineering - Installer & Deployment)
до 19.1.0.0.1 (GoldenGate Stream Analytics)
7 (Red Hat Process Automation)
до 12.2.0.1.20 включительно (Oracle Global Lifecycle Management OPatch)
8.0.0.4.0 (Communications Calendar Server)
8.0.0.5.0 (Oracle Communications Contacts Server)
7.3 (JBoss Data Grid)
от 2.4.0 до 2.9.0 включительно (Banking Platform)
12.4 (РОСА ХРОМ)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Прикладное ПО информационных систем
Сетевое программное средство
Операционная система
СУБД
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 8
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2682
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/04/msg00012.html
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для программных продуктов Red Hat:
https://access.redhat.com/security/cve/cve-2020-11620
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 84%
0.02124
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 8.1
ubuntu
почти 6 лет назад
FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to org.apache.commons.jelly.impl.Embedded (aka commons-jelly).
CVSS3: 8.1
redhat
почти 6 лет назад
FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to org.apache.commons.jelly.impl.Embedded (aka commons-jelly).
CVSS3: 8.1
nvd
почти 6 лет назад
FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to org.apache.commons.jelly.impl.Embedded (aka commons-jelly).
CVSS3: 8.1
debian
почти 6 лет назад
FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interact ...
CVSS3: 8.1
github
почти 6 лет назад
jackson-databind mishandles the interaction between serialization gadgets and typing
EPSS
Процентиль: 84%
0.02124
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2