Описание
Уязвимость программного средства Dropwizard-Validation существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с привилегиями учетной записи службы Dropwizard
Вендор
Oracle Corp.
Coda Hale, Yammer Inc.
Наименование ПО
Blockchain Platform
Dropwizard-Validation
Версия ПО
до 21.1.2 (Blockchain Platform)
до 1.3.19 (Dropwizard-Validation)
от 2.0.0 до 2.0.2 (Dropwizard-Validation)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
Для Dropwizard-Validation:
https://github.com/dropwizard/dropwizard/commit/d87d1e4f8e20f6494c0232bf8560c961b46db634
https://github.com/dropwizard/dropwizard/pull/3157
https://github.com/dropwizard/dropwizard/pull/3160
https://github.com/dropwizard/dropwizard/security/advisories/GHSA-3mcp-9wr4-cjqf
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 91%
0.06297
Низкий
8.8 High
CVSS3
9 Critical
CVSS2
Связанные уязвимости
CVSS3: 7.9
nvd
почти 6 лет назад
Dropwizard-Validation before 1.3.19, and 2.0.2 may allow arbitrary code execution on the host system, with the privileges of the Dropwizard service account, by injecting arbitrary Java Expression Language expressions when using the self-validating feature. The issue has been fixed in dropwizard-validation 1.3.19 and 2.0.2.
CVSS3: 7.9
github
почти 6 лет назад
Remote Code Execution (RCE) vulnerability in dropwizard-validation
EPSS
Процентиль: 91%
0.06297
Низкий
8.8 High
CVSS3
9 Critical
CVSS2