Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-00781

Опубликовано: 27 янв. 2021
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость программной платформы Apache ActiveMQ связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Oracle Corp.
Apache Software Foundation

Наименование ПО

Enterprise Repository
Oracle FLEXCUBE Private Banking
ActiveMQ

Версия ПО

11.1.1.7.0 (Enterprise Repository)
12.0.0 (Oracle FLEXCUBE Private Banking)
12.1.0 (Oracle FLEXCUBE Private Banking)
5.15.12 (ActiveMQ)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache ActiveMQ:
http://activemq.apache.org/security-advisories.data/CVE-2020-11998-announcement.txt
https://lists.apache.org/thread.html/r946488fb942fd35c6a6e0359f52504a558ed438574a8f14d36d7dcd7@%3Ccommits.activemq.apache.org%3E
https://lists.apache.org/thread.html/rb2fd3bf2dce042e0ab3f3c94c4767c96bb2e7e6737624d63162df36d@%3Ccommits.activemq.apache.org%3E
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 92%
0.08028
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-11998

CVSS3: 9.8
ubuntu
больше 5 лет назад

A regression has been introduced in the commit preventing JMX re-bind. By passing an empty environment map to RMIConnectorServer, instead of the map that contains the authentication credentials, it leaves ActiveMQ open to the following attack: https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html "A remote client could create a javax.management.loading.MLet MBean and use it to create new MBeans from arbitrary URLs, at least if there is no security manager. In other words, a rogue remote client could make your Java application execute arbitrary code." Mitigation: Upgrade to Apache ActiveMQ 5.15.13

nvd логотип

CVE-2020-11998

CVSS3: 9.8
nvd
больше 5 лет назад

A regression has been introduced in the commit preventing JMX re-bind. By passing an empty environment map to RMIConnectorServer, instead of the map that contains the authentication credentials, it leaves ActiveMQ open to the following attack: https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html "A remote client could create a javax.management.loading.MLet MBean and use it to create new MBeans from arbitrary URLs, at least if there is no security manager. In other words, a rogue remote client could make your Java application execute arbitrary code." Mitigation: Upgrade to Apache ActiveMQ 5.15.13

debian логотип

CVE-2020-11998

CVSS3: 9.8
debian
больше 5 лет назад

A regression has been introduced in the commit preventing JMX re-bind. ...

github логотип

GHSA-wqfh-9m4g-7x6x

CVSS3: 9.8
github
почти 4 года назад

Remote code execution in Apache ActiveMQ

EPSS

Процентиль: 92%
0.08028
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2