Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05035

Опубликовано: 10 мая 2023
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость компонента BigDecimal программного средства обработки JSON-файлов Apache Johnzon связана с недостатками механизма десериализации при обработке JSON-файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Apache Software Foundation

Наименование ПО

JBoss A-MQ
Red Hat build of Quarkus
Red Hat Integration Camel K
Red Hat Integration Camel Quarkus
Red Hat Integration Camel for Spring Boot
Johnzon

Версия ПО

7 (JBoss A-MQ)
- (Red Hat build of Quarkus)
- (Red Hat Integration Camel K)
- (Red Hat Integration Camel Quarkus)
- (Red Hat Integration Camel for Spring Boot)
до 1.2.20 включительно (Johnzon)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Johnzon:
https://lists.apache.org/thread/qbg14djo95gfpk7o560lr8wcrzfyw43l
https://issues.apache.org/jira/browse/JOHNZON-397
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-33008

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 34%
0.00137
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2023-33008

CVSS3: 5.3
redhat
больше 2 лет назад

Deserialization of Untrusted Data vulnerability in Apache Software Foundation Apache Johnzon. A malicious attacker can craft up some JSON input that uses large numbers (numbers such as 1e20000000) that Apache Johnzon will deserialize into BigDecimal and maybe use numbers too large which may result in a slow conversion (Denial of service risk). Apache Johnzon 1.2.21 mitigates this by setting a scale limit of 1000 (by default) to the BigDecimal. This issue affects Apache Johnzon: through 1.2.20.

nvd логотип

CVE-2023-33008

CVSS3: 5.3
nvd
больше 2 лет назад

Deserialization of Untrusted Data vulnerability in Apache Software Foundation Apache Johnzon. A malicious attacker can craft up some JSON input that uses large numbers (numbers such as 1e20000000) that Apache Johnzon will deserialize into BigDecimal and maybe use numbers too large which may result in a slow conversion (Denial of service risk). Apache Johnzon 1.2.21 mitigates this by setting a scale limit of 1000 (by default) to the BigDecimal. This issue affects Apache Johnzon: through 1.2.20.

github логотип

GHSA-crqg-jrpj-fc84

CVSS3: 5.3
github
больше 2 лет назад

Apache Johnzon Deserialization of Untrusted Data vulnerability

EPSS

Процентиль: 34%
0.00137
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2