Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-04793

Опубликовано: 05 дек. 2018
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость функции в stapler/core/src/main/java/org/kohsuke/stapler/MetaClass.java компонента Stapler сервера автоматизации Jenkins связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Red Hat Inc.
CD Foundation

Наименование ПО

Red Hat OpenShift Container Platform
Jenkins

Версия ПО

3.11 (Red Hat OpenShift Container Platform)
до 2.138.3 включительно (Jenkins)
до 2.153 включительно (Jenkins)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Для сервера автоматизации Jenkins:
https://jenkins.io/security/advisory/2018-12-05/#SECURITY-595
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHBA-2019:0024

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94467
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2018-1000861

CVSS3: 8.8
redhat
около 7 лет назад

A code execution vulnerability exists in the Stapler web framework used by Jenkins 2.153 and earlier, LTS 2.138.3 and earlier in stapler/core/src/main/java/org/kohsuke/stapler/MetaClass.java that allows attackers to invoke some methods on Java objects by accessing crafted URLs that were not intended to be invoked this way.

nvd логотип

CVE-2018-1000861

CVSS3: 9.8
nvd
около 7 лет назад

A code execution vulnerability exists in the Stapler web framework used by Jenkins 2.153 and earlier, LTS 2.138.3 and earlier in stapler/core/src/main/java/org/kohsuke/stapler/MetaClass.java that allows attackers to invoke some methods on Java objects by accessing crafted URLs that were not intended to be invoked this way.

debian логотип

CVE-2018-1000861

CVSS3: 9.8
debian
около 7 лет назад

A code execution vulnerability exists in the Stapler web framework use ...

github логотип

GHSA-hhpm-5cp2-hg4x

CVSS3: 9.8
github
больше 3 лет назад

Deserialization of Untrusted Data in Jenkins

EPSS

Процентиль: 100%
0.94467
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2