GHSA-25pc-85qf-6j69

Опубликовано: 01 авг. 2019

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Deserialization of Untrusted Data in Apache Storm

In Apache Storm versions 1.1.0 to 1.2.2, when the user is using the storm-kafka-client or storm-kafka modules, it is possible to cause the Storm UI daemon to deserialize user provided bytes into a Java class.

Ссылки

Пакеты

Наименование

org.apache.storm:storm-kafka

maven

Затронутые версииВерсия исправления

>= 1.1.0, < 1.2.3

1.2.3

Наименование

org.apache.storm:storm-kafka-client

maven

Затронутые версииВерсия исправления

>= 1.1.0, < 1.2.3

1.2.3

EPSS

Процентиль: 80%

0.01473

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2018-11779

Дефекты

CWE-502

Связанные уязвимости

CVE-2018-11779

CVSS3: 9.8

nvd

больше 6 лет назад

EPSS

Процентиль: 80%

0.01473

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2018-11779

Дефекты

CWE-502