Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-01074

Опубликовано: 09 июн. 2023
Источник: fstec
CVSS3: 4.7
CVSS2: 3.8
EPSS Низкий

Описание

Уязвимость библиотеки Jackson-databind проекта FasterXML связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Red Hat Inc.
FasterXML, LLC

Наименование ПО

Red Hat Enterprise Linux
Jboss Fuse
Red Hat Single Sign-On
Red Hat JBoss Data Grid
Red Hat Process Automation
Decision Manager
Red Hat JBoss A-MQ
Cryostat
Red Hat build of OptaPlanner
Jackson-databind
Red Hat Data Grid

Версия ПО

8 (Red Hat Enterprise Linux)
7 (Jboss Fuse)
7 (Red Hat Single Sign-On)
7 (Red Hat JBoss Data Grid)
6 (Jboss Fuse)
7 (Red Hat Process Automation)
9 (Red Hat Enterprise Linux)
7 (Decision Manager)
7 (Red Hat JBoss A-MQ)
2 (Cryostat)
8 (Red Hat build of OptaPlanner)
до 2.16.0 (Jackson-databind)
8.4.3 (Red Hat Data Grid)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство
Сетевое средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Red Hat Inc. Red Hat Enterprise Linux 9

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/3972
Для программных продуктов Red Hat Inc.
https://access.redhat.com/errata/RHSA-2023:5396;
https://access.redhat.com/security/cve/CVE-2023-35116

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 3%
0.00015
Низкий

4.7 Medium

CVSS3

3.8 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-35116

CVSS3: 4.7
ubuntu
больше 2 лет назад

jackson-databind through 2.15.2 allows attackers to cause a denial of service or other unspecified impact via a crafted object that uses cyclic dependencies. NOTE: the vendor's perspective is that this is not a valid vulnerability report, because the steps of constructing a cyclic data structure and trying to serialize it cannot be achieved by an external attacker.

redhat логотип

CVE-2023-35116

CVSS3: 4.7
redhat
больше 2 лет назад

jackson-databind through 2.15.2 allows attackers to cause a denial of service or other unspecified impact via a crafted object that uses cyclic dependencies. NOTE: the vendor's perspective is that this is not a valid vulnerability report, because the steps of constructing a cyclic data structure and trying to serialize it cannot be achieved by an external attacker.

nvd логотип

CVE-2023-35116

CVSS3: 4.7
nvd
больше 2 лет назад

jackson-databind through 2.15.2 allows attackers to cause a denial of service or other unspecified impact via a crafted object that uses cyclic dependencies. NOTE: the vendor's perspective is that this is not a valid vulnerability report, because the steps of constructing a cyclic data structure and trying to serialize it cannot be achieved by an external attacker.

debian логотип

CVE-2023-35116

CVSS3: 4.7
debian
больше 2 лет назад

jackson-databind through 2.15.2 allows attackers to cause a denial of ...

github логотип

GHSA-gx6w-fqg7-mc3p

CVSS3: 7.5
github
больше 2 лет назад

An issue was discovered jackson-databind thru 2.15.2 allows attackers to cause a denial of service or other unspecified impacts via crafted object that uses cyclic dependencies.

EPSS

Процентиль: 3%
0.00015
Низкий

4.7 Medium

CVSS3

3.8 Low

CVSS2