Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-05036

Опубликовано: 13 мар. 2020
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Низкий

Описание

Уязвимость библиотеки Apache Commons Configuration связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Oracle Corp.
Apache Software Foundation

Наименование ПО

Oracle Healthcare Foundation
Commons Configuration

Версия ПО

7.1.1 (Oracle Healthcare Foundation)
2.2 (Commons Configuration)
2.3 (Commons Configuration)
2.4 (Commons Configuration)
2.5 (Commons Configuration)
2.6 (Commons Configuration)
7.2.0 (Oracle Healthcare Foundation)
7.2.1 (Oracle Healthcare Foundation)
7.3.0 (Oracle Healthcare Foundation)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Commons Configuration:
https://lists.apache.org/thread.html/rde2186ad6ac0d6ed8d51af7509244adcf1ce0f9a3b7e1d1dd3b64676@%3Ccommits.camel.apache.org%3E
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 86%
0.02732
Низкий

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-1953

CVSS3: 10
ubuntu
почти 6 лет назад

Apache Commons Configuration uses a third-party library to parse YAML files which by default allows the instantiation of classes if the YAML includes special statements. Apache Commons Configuration versions 2.2, 2.3, 2.4, 2.5, 2.6 did not change the default settings of this library. So if a YAML file was loaded from an untrusted source, it could therefore load and execute code out of the control of the host application.

redhat логотип

CVE-2020-1953

CVSS3: 9
redhat
почти 6 лет назад

Apache Commons Configuration uses a third-party library to parse YAML files which by default allows the instantiation of classes if the YAML includes special statements. Apache Commons Configuration versions 2.2, 2.3, 2.4, 2.5, 2.6 did not change the default settings of this library. So if a YAML file was loaded from an untrusted source, it could therefore load and execute code out of the control of the host application.

nvd логотип

CVE-2020-1953

CVSS3: 10
nvd
почти 6 лет назад

Apache Commons Configuration uses a third-party library to parse YAML files which by default allows the instantiation of classes if the YAML includes special statements. Apache Commons Configuration versions 2.2, 2.3, 2.4, 2.5, 2.6 did not change the default settings of this library. So if a YAML file was loaded from an untrusted source, it could therefore load and execute code out of the control of the host application.

debian логотип

CVE-2020-1953

CVSS3: 10
debian
почти 6 лет назад

Apache Commons Configuration uses a third-party library to parse YAML ...

github логотип

GHSA-7qx4-pp76-vrqh

CVSS3: 10
github
больше 5 лет назад

Remote code execution in Apache Commons Configuration

EPSS

Процентиль: 86%
0.02732
Низкий

10 Critical

CVSS3

10 Critical

CVSS2