GHSA-5qwq-g2hx-r6f7

Опубликовано: 19 окт. 2022

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Hessian Lite for Apache Dubbo deserialization vulnerability

A deserialization vulnerability existed in dubbo hessian-lite 3.2.12 and its earlier versions, which could lead to malicious code execution. This issue affects Apache Dubbo 2.7.x version 2.7.17 and prior versions; Apache Dubbo 3.0.x version 3.0.11 and prior versions; Apache Dubbo 3.1.x version 3.1.0 and prior versions.

Ссылки

Пакеты

Наименование

com.alibaba:hessian-lite

maven

Затронутые версииВерсия исправления

<= 3.2.12

3.2.13

Наименование

org.apache.dubbo:dubbo

maven

Затронутые версииВерсия исправления

>= 2.7.0, <= 2.7.17

2.7.18

Наименование

org.apache.dubbo:dubbo

maven

Затронутые версииВерсия исправления

>= 3.0.0, <= 3.0.11

3.0.12

Наименование

org.apache.dubbo:dubbo

maven

Затронутые версииВерсия исправления

= 3.1.0

3.1.1

EPSS

Процентиль: 93%

0.10341

Средний

9.8 Critical

CVSS3

CVE ID

CVE-2022-39198

Дефекты

CWE-502

Связанные уязвимости

CVE-2022-39198

CVSS3: 9.8

nvd

больше 3 лет назад

EPSS

Процентиль: 93%

0.10341

Средний

9.8 Critical

CVSS3

CVE ID

CVE-2022-39198

Дефекты

CWE-502