GHSA-5r5r-6hpj-8gg9

Опубликовано: 09 дек. 2021

Источник: github

Github: Прошло ревью

CVSS3: 8.1

Описание

Serialization gadget exploit in jackson-databind

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (aka embedded Xalan in org.glassfish.web/javax.servlet.jsp.jstl).

Ссылки

Пакеты

Наименование

com.fasterxml.jackson.core:jackson-databind

maven

Затронутые версииВерсия исправления

>= 2.0.0, <= 2.9.10.7

2.9.10.8

EPSS

Процентиль: 97%

0.39669

Средний

8.1 High

CVSS3

CVE ID

CVE-2020-35728

Дефекты

CWE-502

Связанные уязвимости

CVE-2020-35728

CVSS3: 8.1

ubuntu

около 5 лет назад

CVE-2020-35728

CVSS3: 8.1

redhat

около 5 лет назад

CVE-2020-35728

CVSS3: 8.1

nvd

около 5 лет назад

CVE-2020-35728

CVSS3: 8.1

debian

около 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interact ...

BDU:2021-01045

CVSS3: 8.1

fstec

около 5 лет назад

Уязвимость библиотеки Jackson-databind проекта FasterXML, связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

EPSS

Процентиль: 97%

0.39669

Средний

8.1 High

CVSS3

CVE ID

CVE-2020-35728

Дефекты

CWE-502