Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-03903

Опубликовано: 14 мая 2021
Источник: fstec
CVSS3: 7.5
CVSS2: 9
EPSS Критический

Описание

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат Xstream связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Xstream Project
АО «Концерн ВНИИНС»

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
Red Hat JBoss Fuse
Red Hat Descision Manager
CodeReady Studio
Data Grid
Red Hat Process Automation
Red Hat Integration Camel K
XStream
Red Hat Integration Camel Quarkus
ОС ОН «Стрелец»

Версия ПО

7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
7 (Red Hat JBoss Fuse)
7 (Red Hat Descision Manager)
12 (CodeReady Studio)
8 (Data Grid)
7 (Red Hat Process Automation)
- (Red Hat Integration Camel K)
до 1.4.17 (XStream)
- (Red Hat Integration Camel Quarkus)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Xstream:
https://github.com/x-stream/xstream/commit/24fac82191292c6ae25f94508d28b9823f83624f
https://github.com/x-stream/xstream/security/advisories/GHSA-7chv-rrw6-w6fc
Для Debian:
https://lists.debian.org/debian-lts-announce/2021/07/msg00004.html
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-29505
Для ОС ОН «Стрелец»:
Обновление программного обеспечения libxstream-java до версии 1.4.11.1-1+deb9u5

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.90769
Критический

7.5 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-29505

CVSS3: 7.5
ubuntu
больше 4 лет назад

XStream is software for serializing Java objects to XML and back again. A vulnerability in XStream versions prior to 1.4.17 may allow a remote attacker has sufficient rights to execute commands of the host only by manipulating the processed input stream. No user who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types is affected. The vulnerability is patched in version 1.4.17.

redhat логотип

CVE-2021-29505

CVSS3: 7.5
redhat
больше 4 лет назад

XStream is software for serializing Java objects to XML and back again. A vulnerability in XStream versions prior to 1.4.17 may allow a remote attacker has sufficient rights to execute commands of the host only by manipulating the processed input stream. No user who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types is affected. The vulnerability is patched in version 1.4.17.

nvd логотип

CVE-2021-29505

CVSS3: 7.5
nvd
больше 4 лет назад

XStream is software for serializing Java objects to XML and back again. A vulnerability in XStream versions prior to 1.4.17 may allow a remote attacker has sufficient rights to execute commands of the host only by manipulating the processed input stream. No user who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types is affected. The vulnerability is patched in version 1.4.17.

debian логотип

CVE-2021-29505

CVSS3: 7.5
debian
больше 4 лет назад

XStream is software for serializing Java objects to XML and back again ...

suse-cvrf логотип

openSUSE-SU-2021:1995-1

suse-cvrf
больше 4 лет назад

Security update for xstream

EPSS

Процентиль: 100%
0.90769
Критический

7.5 High

CVSS3

9 Critical

CVSS2