BDU:2021-04547

Опубликовано: 29 июл. 2021

Источник: fstec

CVSS3: 8.1

CVSS2: 7.6

EPSS Низкий

Описание

Уязвимость программного обеспечения Apache jUDDI связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

jUDDI

Версия ПО

до 3.3.10 (jUDDI)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Обновление программного обеспечения Apache jUDDI до более новой версии.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-37578
CVE

EPSS

Процентиль: 81%

0.01581

Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

CVE-2021-37578

CVSS3: 9.8

nvd

больше 4 лет назад

Apache jUDDI uses several classes related to Java's Remote Method Invocation (RMI) which (as an extension to UDDI) provides an alternate transport for accessing UDDI services. RMI uses the default Java serialization mechanism to pass parameters in RMI invocations. A remote attacker can send a malicious serialized object to the above RMI entries. The objects get deserialized without any check on the incoming data. In the worst case, it may let the attacker run arbitrary code remotely. For both jUDDI web service applications and jUDDI clients, the usage of RMI is disabled by default. Since this is an optional feature and an extension to the UDDI protocol, the likelihood of impact is low. Starting with 3.3.10, all RMI related code was removed.

GHSA-9hx8-2mrv-r674