BDU:2021-02958

Опубликовано: 09 дек. 2015

Источник: fstec

CVSS3: 8.8

CVSS2: 7.5

EPSS Средний

Описание

Уязвимость библиотеки Apache Commons Collections и программных продуктов Cisco связана с восстановлением в памяти недостоверных структур данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Cisco Systems Inc.

Apache Software Foundation

Oracle Corp.

Наименование ПО

Cisco Prime License Manager

Unified Communications Manager

Cisco Hosted Collaboration Mediation Fulfillment

Unified Contact Center Express

Cisco Registered Envelope Service

Unified Communications Domain Manager

Commons Collections

Cisco WebEx Meetings Server

Cisco Prime Home

Prime Infrastructure

Cisco Security Manager

Unified Intelligence Center

UCS Director

Cisco Emergency Responder

Cisco MediaSense

Cisco Video Distribution Suite for Internet Streaming

Cisco Mobility Services Engine

Cisco Cloud Email Security

Cisco Cloud Web Security

Data Center Analytics Framework

Cisco Smart Net Total Care

Hospitality Reporting and Analytics

Hospitality Gift and Loyalty

Версия ПО

- (Cisco Prime License Manager)

- (Unified Communications Manager)

- (Cisco Hosted Collaboration Mediation Fulfillment)

- (Unified Contact Center Express)

- (Cisco Registered Envelope Service)

- (Unified Communications Domain Manager)

до 3.2.1 включительно (Commons Collections)

4.0 (Commons Collections)

1.0 (Cisco WebEx Meetings Server)

2.0 (Cisco WebEx Meetings Server)

- (Cisco Prime Home)

- (Prime Infrastructure)

- (Cisco Security Manager)

- (Unified Intelligence Center)

- (UCS Director)

- (Cisco Emergency Responder)

- (Cisco MediaSense)

- (Cisco Video Distribution Suite for Internet Streaming)

- (Cisco Mobility Services Engine)

- (Cisco Cloud Email Security)

- (Cisco Cloud Web Security)

- (Data Center Analytics Framework)

- (Cisco Smart Net Total Care)

- (Hospitality Reporting and Analytics)

- (Hospitality Gift and Loyalty)

Тип ПО

Сетевое средство

Сетевое программное средство

Программное средство защиты

Прикладное ПО информационных систем

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Apache Commons Collections:

https://lists.apache.org/thread.html/r352e40ca9874d1beb4ad95403792adca7eb295e6bc3bd7b65fabcc21@%3Ccommits.samza.apache.org%3E

Для программных продуктов Cisco Systems Inc:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization

Для программных продуктов Oracle Corp.:

https://www.oracle.com/security-alerts/cpujul2018.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6420
CVE

EPSS

Процентиль: 95%

0.18167

Средний

8.8 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

CVE-2015-6420

nvd

около 10 лет назад

Serialized-object interfaces in certain Cisco Collaboration and Social Media; Endpoint Clients and Client Software; Network Application, Service, and Acceleration; Network and Content Security Devices; Network Management and Provisioning; Routing and Switching - Enterprise and Service Provider; Unified Computing; Voice and Unified Communications Devices; Video, Streaming, TelePresence, and Transcoding Devices; Wireless; and Cisco Hosted Services products allow remote attackers to execute arbitrary commands via a crafted serialized Java object, related to the Apache Commons Collections (ACC) library.

GHSA-6hgm-866r-3cjv

github

больше 5 лет назад

Insecure Deserialization in Apache Commons Collection