Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-07817

Опубликовано: 03 окт. 2024
Источник: fstec
CVSS3: 7.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость библиотеки сериализации данных Apache Avro связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированной схемы данных

Вендор

Apache Software Foundation

Наименование ПО

Avro

Версия ПО

до 1.11.4 (Avro)
до 1.12.0 (Avro)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности анализа пользовательских схем, полученных из недоверенных источников;
- выполнение очистки пользовательских схем перед проведением их анализа;
- ограничение доступа к уязвимому программному продукту из внешних сетей (Интернет).
Использование рекомендаций:
https://avro.apache.org/project/download/
https://lists.apache.org/thread/c2v7mhqnmq0jmbwxqq3r5jbj1xg43h5x

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 67%
0.00543
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-47561

CVSS3: 8.8
redhat
больше 1 года назад

Schema parsing in the Java SDK of Apache Avro 1.11.3 and previous versions allows bad actors to execute arbitrary code. Users are recommended to upgrade to version 1.11.4  or 1.12.0, which fix this issue.

nvd логотип

CVE-2024-47561

CVSS3: 7.3
nvd
больше 1 года назад

Schema parsing in the Java SDK of Apache Avro 1.11.3 and previous versions allows bad actors to execute arbitrary code. Users are recommended to upgrade to version 1.11.4  or 1.12.0, which fix this issue.

github логотип

GHSA-r7pg-v2c8-mfg3

CVSS3: 9.8
github
больше 1 года назад

Apache Avro Java SDK: Arbitrary Code Execution when reading Avro Data (Java SDK)

EPSS

Процентиль: 67%
0.00543
Низкий

7.3 High

CVSS3

7.5 High

CVSS2