Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-02953

Опубликовано: 19 сент. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость библиотеки Jackson-databind проекта FasterXML связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Red Hat Inc.
FasterXML, LLC
АО «НТЦ ИТ РОСА»

Наименование ПО

Jboss Fuse
OpenShift Application Runtimes
JBoss Enterprise Application Platform Continuous Delivery
JBoss Enterprise Application Platform
Red Hat Single Sign-On
Red Hat Descision Manager
JBoss EAP
Red Hat Process Automation
Jackson-databind
JBoss Data Grid
РОСА ХРОМ

Версия ПО

7 (Jboss Fuse)
1.0 (OpenShift Application Runtimes)
- (JBoss Enterprise Application Platform Continuous Delivery)
7.2 for RHEL 6 (JBoss Enterprise Application Platform)
7.2 for RHEL 7 (JBoss Enterprise Application Platform)
7.2 for RHEL 8 (JBoss Enterprise Application Platform)
7.3 (Red Hat Single Sign-On)
7 (Red Hat Descision Manager)
7.2 (JBoss EAP)
7 (Red Hat Process Automation)
от 2.9.0 до 2.9.10 (Jackson-databind)
7.3 (JBoss Data Grid)
от 2.8.0 до 2.8.11.5 (Jackson-databind)
от 2.6.7 до 2.6.7.3 (Jackson-databind)
12.4 (РОСА ХРОМ)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство
Операционная система

Операционные системы и аппаратные платформы

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для FasterXML:
https://github.com/FasterXML/jackson-databind/issues/2462
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-14892
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 75%
0.00873
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-14892

CVSS3: 9.8
ubuntu
почти 6 лет назад

A flaw was discovered in jackson-databind in versions before 2.9.10, 2.8.11.5 and 2.6.7.3, where it would permit polymorphic deserialization of a malicious object using commons-configuration 1 and 2 JNDI classes. An attacker could use this flaw to execute arbitrary code.

redhat логотип

CVE-2019-14892

CVSS3: 7.5
redhat
больше 6 лет назад

A flaw was discovered in jackson-databind in versions before 2.9.10, 2.8.11.5 and 2.6.7.3, where it would permit polymorphic deserialization of a malicious object using commons-configuration 1 and 2 JNDI classes. An attacker could use this flaw to execute arbitrary code.

nvd логотип

CVE-2019-14892

CVSS3: 9.8
nvd
почти 6 лет назад

A flaw was discovered in jackson-databind in versions before 2.9.10, 2.8.11.5 and 2.6.7.3, where it would permit polymorphic deserialization of a malicious object using commons-configuration 1 and 2 JNDI classes. An attacker could use this flaw to execute arbitrary code.

debian логотип

CVE-2019-14892

CVSS3: 9.8
debian
почти 6 лет назад

A flaw was discovered in jackson-databind in versions before 2.9.10, 2 ...

github логотип

GHSA-cf6r-3wgc-h863

CVSS3: 7.5
github
больше 5 лет назад

Polymorphic deserialization of malicious object in jackson-databind

EPSS

Процентиль: 75%
0.00873
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2