BDU:2022-06168

Опубликовано: 15 сент. 2022

Источник: fstec

CVSS3: 8.8

CVSS2: 9

EPSS Низкий

Описание

Уязвимость обработчика URL-адреса соединения JDBC платформы интеграции данных Apache InLong связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

InLong

Версия ПО

до 1.3.0 (InLong)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://lists.apache.org/thread/k974vxlj586yw0mw0xvl47mqgzlbsz7j

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-40955
CVE

EPSS

Процентиль: 88%

0.03805

Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2022-40955

CVSS3: 8.8

nvd

больше 3 лет назад

In versions of Apache InLong prior to 1.3.0, an attacker with sufficient privileges to specify MySQL JDBC connection URL parameters and to write arbitrary data to the MySQL database, could cause this data to be deserialized by Apache InLong, potentially leading to Remote Code Execution on the Apache InLong server. Users are advised to upgrade to Apache InLong 1.3.0 or newer.

GHSA-26m4-qjp9-xmc6

CVSS3: 8.8

github

больше 3 лет назад

Apache InLong vulnerable to Deserialization of Untrusted Data

EPSS

Процентиль: 88%

0.03805

Низкий

8.8 High

CVSS3

9 Critical

CVSS2