Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-04468

Опубликовано: 02 июл. 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость компонента spring-aop библиотеки Jackson-databind проекта FasterXML связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе

Вендор

Oracle Corp.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Red Hat Inc.
FasterXML, LLC
ООО «Ред Софт»
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»

Наименование ПО

Primavera Unifier
WebCenter Portal
Debian GNU/Linux
WebLogic Server
Oracle Retail Merchandising System
Astra Linux Common Edition
Red Hat Enterprise Linux
Database Server
Jboss Fuse
Retail Customer Management and Segmentation Foundation
Retail Xstore Point of Service
OpenShift Application Runtimes
JBoss Enterprise Application Platform Continuous Delivery
Enterprise Manager Base Platform
Red Hat Descision Manager
Oracle Agile PLM
Communications Instant Messaging Server
Siebel UI Framework
Jackson-databind
Oracle Communications Contacts Server
Oracle Communications Evolved Communications Application Server
Communications Network Charging and Control
JD Edwards EnterpriseOne Orchestrator
JD Edwards EnterpriseOne Tools
Communications Billing and Revenue Management
Oracle Retail Sales Audit
Siebel Engineering - Installer & Deployment
GoldenGate Stream Analytics
Oracle Global Lifecycle Management OPatch
Red Hat Satellite
Communications Diameter Signaling Router
Communications Calendar Server
JBoss Data Grid
Banking Platform
РЕД ОС
РОСА ХРОМ
ОС ОН «Стрелец»

Версия ПО

16.2 (Primavera Unifier)
16.1 (Primavera Unifier)
12.2.1.3.0 (WebCenter Portal)
8.0 (Debian GNU/Linux)
12.2.1.3.0 (WebLogic Server)
15.0 (Oracle Retail Merchandising System)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
12.2.0.1 (Database Server)
18c (Database Server)
19c (Database Server)
7 (Jboss Fuse)
18.8 (Primavera Unifier)
18.0 (Retail Customer Management and Segmentation Foundation)
15.0 (Retail Xstore Point of Service)
16.0 (Retail Xstore Point of Service)
17.0 (Retail Xstore Point of Service)
18.0 (Retail Xstore Point of Service)
1.0 (OpenShift Application Runtimes)
19.0.0 (Retail Xstore Point of Service)
- (JBoss Enterprise Application Platform Continuous Delivery)
12.2.1.4.0 (WebLogic Server)
13.3.0.0 (Enterprise Manager Base Platform)
7 (Red Hat Descision Manager)
19.12 (Primavera Unifier)
от 17.7 до 17.12 включительно (Primavera Unifier)
12.2.1.4.0 (WebCenter Portal)
9.3.6 (Oracle Agile PLM)
13.4.0.0 (Enterprise Manager Base Platform)
10.0.1.4.0 (Communications Instant Messaging Server)
до 20.5 включительно (Siebel UI Framework)
от 2.0 до 2.9.10.4 (Jackson-databind)
8.0.0.4.0 (Oracle Communications Contacts Server)
7.1 (Oracle Communications Evolved Communications Application Server)
6.0.1 (Communications Network Charging and Control)
от 12.0.0 до 12.0.3 включительно (Communications Network Charging and Control)
до 9.2.4.2 (JD Edwards EnterpriseOne Orchestrator)
до 9.2.4.2 (JD Edwards EnterpriseOne Tools)
7.5.0.23.0 (Communications Billing and Revenue Management)
12.0.0.3.0 (Communications Billing and Revenue Management)
15.0.3 (Oracle Retail Merchandising System)
16.0.2 (Oracle Retail Merchandising System)
16.0.3 (Oracle Retail Merchandising System)
14.1 (Oracle Retail Sales Audit)
до 2.20.5 включительно (Siebel Engineering - Installer & Deployment)
до 19.1.0.0.1 (GoldenGate Stream Analytics)
до 12.2.0.1.20 включительно (Oracle Global Lifecycle Management OPatch)
6.6 for RHEL 7 (Red Hat Satellite)
6.7 for RHEL 7 (Red Hat Satellite)
от 8.0.0 до 8.2.2 включительно (Communications Diameter Signaling Router)
8.0.0.4.0 (Communications Calendar Server)
8.0.0.5.0 (Oracle Communications Contacts Server)
7.3 (JBoss Data Grid)
от 2.4.0 до 2.9.0 включительно (Banking Platform)
6.7 for RHEL 8 (Red Hat Satellite)
7.3 (РЕД ОС)
12.4 (РОСА ХРОМ)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство
Операционная система
СУБД
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2680
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/04/msg00012.html
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
Для программных продуктов Red Hat:
https://access.redhat.com/security/cve/cve-2020-11619
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 82%
0.01826
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20250710-13

CVSS3: 9.8
redos
10 дней назад

Множественные уязвимости jackson-databind

ubuntu логотип

CVE-2020-11619

CVSS3: 8.1
ubuntu
больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to org.springframework.aop.config.MethodLocatingFactoryBean (aka spring-aop).

redhat логотип

CVE-2020-11619

CVSS3: 8.1
redhat
больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to org.springframework.aop.config.MethodLocatingFactoryBean (aka spring-aop).

nvd логотип

CVE-2020-11619

CVSS3: 8.1
nvd
больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to org.springframework.aop.config.MethodLocatingFactoryBean (aka spring-aop).

debian логотип

CVE-2020-11619

CVSS3: 8.1
debian
больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interact ...

EPSS

Процентиль: 82%
0.01826
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2