GHSA-6fpp-rgj9-8rwc

Опубликовано: 01 авг. 2019

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Deserialization of untrusted data in FasterXML jackson-databind

SubTypeValidator.java in FasterXML jackson-databind before 2.9.9.2, 2.8.11.4, and 2.7.9.6 mishandles default typing when ehcache is used (because of net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), leading to remote code execution.

Ссылки

Пакеты

Наименование

com.fasterxml.jackson.core:jackson-databind

maven

Затронутые версииВерсия исправления

>= 2.9.0, < 2.9.9.2

2.9.9.2

Наименование

com.fasterxml.jackson.core:jackson-databind

maven

Затронутые версииВерсия исправления

>= 2.8.0, < 2.8.11.4

2.8.11.4

Наименование

com.fasterxml.jackson.core:jackson-databind

maven

Затронутые версииВерсия исправления

< 2.7.9.6

2.7.9.6

EPSS

Процентиль: 80%

0.01455

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2019-14379

Дефекты

CWE-1321

CWE-915

Связанные уязвимости

CVE-2019-14379

CVSS3: 9.8

ubuntu

больше 6 лет назад

SubTypeValidator.java in FasterXML jackson-databind before 2.9.9.2 mishandles default typing when ehcache is used (because of net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), leading to remote code execution.

CVE-2019-14379

CVSS3: 9.8

redhat

больше 6 лет назад

CVE-2019-14379

CVSS3: 9.8

nvd

больше 6 лет назад

CVE-2019-14379

CVSS3: 9.8

debian

больше 6 лет назад

SubTypeValidator.java in FasterXML jackson-databind before 2.9.9.2 mis ...

BDU:2019-04087

CVSS3: 9.8

fstec

больше 6 лет назад

Уязвимость функции FasterXM Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 80%

0.01455

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2019-14379

Дефекты

CWE-1321

CWE-915