BDU:2022-06567

Опубликовано: 26 окт. 2022

Источник: fstec

CVSS3: 8.8

CVSS2: 9

EPSS Низкий

Описание

Уязвимость программного средства соединения, управления и оркестрации приложений Apache Linkis связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

Linkis

Версия ПО

до 1.3.0 (Linkis)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://lists.apache.org/thread/rxytj48q17304snonjtyt5lnlw64gccc

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-39944
CVE

EPSS

Процентиль: 85%

0.02419

Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2022-39944

CVSS3: 8.8

nvd

больше 3 лет назад

In Apache Linkis <=1.2.0 when used with the MySQL Connector/J, a deserialization vulnerability with possible remote code execution impact exists when an attacker has write access to a database and configures a JDBC EC with a MySQL data source and malicious parameters. Therefore, the parameters in the jdbc url should be blacklisted. Versions of Apache Linkis <= 1.2.0 will be affected, We recommend users to update to 1.3.0.

GHSA-3f3w-gmqf-4hj3

CVSS3: 8.8

github

больше 3 лет назад

Apache Linkis subject to Remote Code Execution via deserialization

EPSS

Процентиль: 85%

0.02419

Низкий

8.8 High

CVSS3

9 Critical

CVSS2