Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03775

Опубликовано: 23 мая 2022
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость фреймворка Apache Maven связана с генерацией строк в двойных кавычках без надлежащего экранирования. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить атаки внедрения кода в командную оболочку

Вендор

ООО «Ред Софт»
АО "НППКТ"
Apache Software Foundation
ООО «Юбитех»

Наименование ПО

РЕД ОС
ОСОН ОСнова Оnyx
Maven
UBLinux

Версия ПО

7.3 (РЕД ОС)
до 2.6 (ОСОН ОСнова Оnyx)
до 3.3.3 (Maven)
до 2405 (UBLinux)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
ООО «Юбитех» UBLinux до 2405

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Для Apache Maven:
https://github.com/apache/maven-shared-utils/pull/40
https://issues.apache.org/jira/browse/MSHARED-297
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения maven-shared-utils до версии 3.3.0-1+deb10u1
Для UBLinux:
https://security.ublinux.ru/CVE-2021-21708

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 60%
0.00395
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-29599

CVSS3: 9.8
ubuntu
около 3 лет назад

In Apache Maven maven-shared-utils prior to version 3.3.3, the Commandline class can emit double-quoted strings without proper escaping, allowing shell injection attacks.

redhat логотип

CVE-2022-29599

CVSS3: 9.8
redhat
около 5 лет назад

In Apache Maven maven-shared-utils prior to version 3.3.3, the Commandline class can emit double-quoted strings without proper escaping, allowing shell injection attacks.

nvd логотип

CVE-2022-29599

CVSS3: 9.8
nvd
около 3 лет назад

In Apache Maven maven-shared-utils prior to version 3.3.3, the Commandline class can emit double-quoted strings without proper escaping, allowing shell injection attacks.

debian логотип

CVE-2022-29599

CVSS3: 9.8
debian
около 3 лет назад

In Apache Maven maven-shared-utils prior to version 3.3.3, the Command ...

redos логотип

ROS-20240503-19

CVSS3: 9.8
redos
около 1 года назад

Уязвимость maven-shared-utils

EPSS

Процентиль: 60%
0.00395
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2