Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-05588

Опубликовано: 15 нояб. 2021
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Низкий

Описание

Уязвимость Java-библиотеки для определения, анализа, проверки и переноса cron-элементов cron-utils связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения

Наименование ПО

Red Hat build of Quarkus
Red Hat Integration Service Registry
Red Hat Integration Camel Quarkus
cron-utils

Версия ПО

- (Red Hat build of Quarkus)
- (Red Hat Integration Service Registry)
- (Red Hat Integration Camel Quarkus)
до 9.1.6 (cron-utils)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/jmrozanec/cron-utils/security/advisories/GHSA-p9m8-27x8-rg87
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-41269

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 88%
0.03799
Низкий

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2021-41269

CVSS3: 9.8
redhat
около 4 лет назад

cron-utils is a Java library to define, parse, validate, migrate crons as well as get human readable descriptions for them. In affected versions A template Injection was identified in cron-utils enabling attackers to inject arbitrary Java EL expressions, leading to unauthenticated Remote Code Execution (RCE) vulnerability. Versions up to 9.1.2 are susceptible to this vulnerability. Please note, that only projects using the @Cron annotation to validate untrusted Cron expressions are affected. The issue was patched and a new version was released. Please upgrade to version 9.1.6. There are no known workarounds known.

nvd логотип

CVE-2021-41269

CVSS3: 10
nvd
около 4 лет назад

cron-utils is a Java library to define, parse, validate, migrate crons as well as get human readable descriptions for them. In affected versions A template Injection was identified in cron-utils enabling attackers to inject arbitrary Java EL expressions, leading to unauthenticated Remote Code Execution (RCE) vulnerability. Versions up to 9.1.2 are susceptible to this vulnerability. Please note, that only projects using the @Cron annotation to validate untrusted Cron expressions are affected. The issue was patched and a new version was released. Please upgrade to version 9.1.6. There are no known workarounds known.

github логотип

GHSA-p9m8-27x8-rg87

CVSS3: 10
github
около 4 лет назад

Critical vulnerability found in cron-utils

fstec логотип

BDU:2021-05647

CVSS3: 8.4
fstec
больше 4 лет назад

Уязвимость расширения ePolicy Orchestrator программного средства защиты конфиденциальных данных McAfee Data Loss Prevention, позволяющая нарушителю выполнить произвольный SQL-код

EPSS

Процентиль: 88%
0.03799
Низкий

10 Critical

CVSS3

10 Critical

CVSS2