exploitDog

GHSA-c5hg-mr8r-f6jp

Опубликовано: 27 дек. 2022

Источник: github

Github: Прошло ревью

CVSS3: 9.1

Описание

Hazelcast connection caching

Impact

The Connection handler in Hazelcast and Hazelcast Jet allows an unauthenticated, remote attacker to access and manipulate data in the cluster with another authenticated connection's identity. The affected Hazelcast versions are through 3.12.12, 4.0.6, 4.1.9, 4.2.5, 5.0.3, and 5.1.2. The affected Hazelcast Jet versions are through 4.5.3.

Patches

Hazelcast Jet (and Enterprise) 4.5.4. Hazelcast IMDG (and Enterprise)3.12.13 Hazelcast IMDG (and Enterprise) 4.1.10 Hazelcast IMDG (and Enterprise) 4.2.6 Hazelcast Platform (and Enterprise) 5.1.3

Workarounds

There is no known workaround, but setups with TLS and mutual authentication enabled significantly lowers the exploitation risk.

References

https://support.hazelcast.com/s/article/Security-Advisory-for-CVE-2022-36437

Ссылки

Пакеты

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

<= 3.12.12

3.12.13

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

>= 4.0, <= 4.0.6

Отсутствует

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

>= 4.1, <= 4.1.9

4.1.10

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

>= 4.2, <= 4.2.5

4.2.6

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

>= 5.0, <= 5.0.3

5.0.4

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

>= 5.1, <= 5.1.2

5.1.3

Наименование

com.hazelcast.jet:hazelcast-jet

maven

Затронутые версииВерсия исправления

<= 4.5.3

4.5.4

Наименование

com.hazelcast.jet:hazelcast-jet-enterprise

maven

Затронутые версииВерсия исправления

<= 4.5.3

4.5.4

Наименование

com.hazelcast:hazelcast-enterprise

maven

Затронутые версииВерсия исправления

<= 3.12.12

3.12.13

Наименование

com.hazelcast:hazelcast-enterprise

maven

Затронутые версииВерсия исправления

>= 4.0, <= 4.0.6

Отсутствует

Наименование

com.hazelcast:hazelcast-enterprise

maven

Затронутые версииВерсия исправления

>= 4.1, <= 4.1.9

4.1.10

Наименование

com.hazelcast:hazelcast-enterprise

maven

Затронутые версииВерсия исправления

>= 4.2, <= 4.2.5

4.2.6

Наименование

com.hazelcast:hazelcast-enterprise

maven

Затронутые версииВерсия исправления

>= 5.0, <= 5.0.3

5.0.4

Наименование

com.hazelcast:hazelcast-enterprise

maven

Затронутые версииВерсия исправления

>= 5.1, <= 5.1.2

5.1.3

EPSS

Процентиль: 58%

0.00362

Низкий

9.1 Critical

CVSS3

CVE ID

Дефекты

CWE-384

Связанные уязвимости

CVE-2022-36437

CVSS3: 9.1

redhat

около 3 лет назад

The Connection handler in Hazelcast and Hazelcast Jet allows a remote unauthenticated attacker to access and manipulate data in the cluster with the identity of another already authenticated connection. The affected Hazelcast versions are through 4.0.6, 4.1.9, 4.2.5, 5.0.3, and 5.1.2. The affected Hazelcast Jet versions are through 4.5.3.

CVE-2022-36437

CVSS3: 9.1

nvd

около 3 лет назад

The Connection handler in Hazelcast and Hazelcast Jet allows a remote unauthenticated attacker to access and manipulate data in the cluster with the identity of another already authenticated connection. The affected Hazelcast versions are through 4.0.6, 4.1.9, 4.2.5, 5.0.3, and 5.1.2. The affected Hazelcast Jet versions are through 4.5.3.

CVE-2022-36437

CVSS3: 9.1

debian

около 3 лет назад

The Connection handler in Hazelcast and Hazelcast Jet allows a remote ...

EPSS

Процентиль: 58%

0.00362

Низкий

9.1 Critical

CVSS3

CVE ID

Дефекты

CWE-384