GHSA-gww7-p5w4-wrfv

Опубликовано: 04 мар. 2020

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Deserialization of Untrusted Data in jackson-databind

FasterXML jackson-databind 2.x before 2.6.7.4, 2.7.x before 2.7.9.7, 2.8.x before 2.8.11.5, and 2.9.x before 2.9.10.2 lacks certain net.sf.ehcache blocking.

Ссылки

Пакеты

Наименование

com.fasterxml.jackson.core:jackson-databind

maven

Затронутые версииВерсия исправления

>= 2.0.0, <= 2.6.7.3

2.6.7.4

Наименование

com.fasterxml.jackson.core:jackson-databind

maven

Затронутые версииВерсия исправления

>= 2.7.0, <= 2.7.9.6

2.7.9.7

Наименование

com.fasterxml.jackson.core:jackson-databind

maven

Затронутые версииВерсия исправления

>= 2.8.0, <= 2.8.11.4

2.8.11.5

Наименование

com.fasterxml.jackson.core:jackson-databind

maven

Затронутые версииВерсия исправления

>= 2.9.0, <= 2.9.10.1

2.9.10.2

EPSS

Процентиль: 83%

0.01997

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2019-20330

Дефекты

CWE-502

Связанные уязвимости

CVE-2019-20330

CVSS3: 9.8

ubuntu

больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.2 lacks certain net.sf.ehcache blocking.

CVE-2019-20330

CVSS3: 8.1

redhat

больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.2 lacks certain net.sf.ehcache blocking.

CVE-2019-20330

CVSS3: 9.8

nvd

больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.2 lacks certain net.sf.ehcache blocking.

CVE-2019-20330

CVSS3: 9.8

debian

больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.2 lacks certain net.sf.eh ...

BDU:2020-02242

CVSS3: 9.8

fstec

больше 5 лет назад

Уязвимость библиотеки Jackson-databind, связанная с восстановлением недостоверных данных в памяти, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

EPSS

Процентиль: 83%

0.01997

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2019-20330

Дефекты

CWE-502