exploitDog

GHSA-c5vj-wp4v-mmvx

Опубликовано: 19 июл. 2023

Источник: github

Github: Прошло ревью

CVSS3: 7.6

Описание

Hazelcast Executor Services don't check client permissions properly

Impact

In Hazelcast Platform, 5.0 through 5.0.4, 5.1 through 5.1.6, and 5.2 through 5.2.3, and Hazelcast IMDG (all versions up to 4.2.z), Executor Services don't check client permissions properly, allowing authenticated users to execute tasks on members without the required permissions granted.

Patches

Fix versions: 5.3.0, 5.2.4, 5.1.7, 5.0.5

Workarounds

Users are only affected when they already use executor services (i.e., an instance exists as a distributed data structure).

Ссылки

Пакеты

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

>= 5.2.0, <= 5.2.3

5.2.4

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

>= 5.1.0, <= 5.1.6

5.1.7

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

<= 5.0.4

5.0.5

Наименование

com.hazelcast:hazelcast-enterprise

maven

Затронутые версииВерсия исправления

>= 5.2.0, <= 5.2.3

5.2.4

Наименование

com.hazelcast:hazelcast-enterprise

maven

Затронутые версииВерсия исправления

>= 5.1.0, <= 5.1.6

5.1.7

Наименование

com.hazelcast:hazelcast-enterprise

maven

Затронутые версииВерсия исправления

<= 5.0.4

5.0.5

EPSS

Процентиль: 39%

0.00172

Низкий

7.6 High

CVSS3

CVE ID

Дефекты

CWE-862

Связанные уязвимости

CVE-2023-33265

CVSS3: 8.8

nvd

больше 2 лет назад

In Hazelcast through 5.0.4, 5.1 through 5.1.6, and 5.2 through 5.2.3, executor services don't check client permissions properly, allowing authenticated users to execute tasks on members without the required permissions granted.

CVE-2023-33265

CVSS3: 8.8

debian

больше 2 лет назад

In Hazelcast through 5.0.4, 5.1 through 5.1.6, and 5.2 through 5.2.3, ...

BDU:2023-08538

CVSS3: 8.8

fstec

больше 2 лет назад

Уязвимость платформы анализа данных Hazelcast, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнять произвольные действия

EPSS

Процентиль: 39%

0.00172

Низкий

7.6 High

CVSS3

CVE ID

Дефекты

CWE-862