Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-h9mh-mgpv-gqmv

Опубликовано: 22 авг. 2022
Источник: github
Github: Прошло ревью
CVSS3: 9.8

Описание

Remote code execution in Apache Flume

Apache Flume versions 1.4.0 through 1.10.0 are vulnerable to a remote code execution (RCE) attack when a configuration uses a JMS Source with a JNDI LDAP data source URI when an attacker has control of the target LDAP server. This issue is fixed by limiting JNDI to allow only the use of the java protocol or no protocol.

Ссылки

Пакеты

Наименование

org.apache.flume.flume-ng-sources:flume-jms-source

maven
Затронутые версииВерсия исправления

>= 1.4.0, < 1.10.1

1.10.1

EPSS

Процентиль: 85%
0.0266
Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2022-34916

Дефекты

CWE-20
CWE-74

Связанные уязвимости

redhat логотип

CVE-2022-34916

CVSS3: 8.1
redhat
больше 3 лет назад

Apache Flume versions 1.4.0 through 1.10.0 are vulnerable to a remote code execution (RCE) attack when a configuration uses a JMS Source with a JNDI LDAP data source URI when an attacker has control of the target LDAP server. This issue is fixed by limiting JNDI to allow only the use of the java protocol or no protocol.

nvd логотип

CVE-2022-34916

CVSS3: 9.8
nvd
больше 3 лет назад

Apache Flume versions 1.4.0 through 1.10.0 are vulnerable to a remote code execution (RCE) attack when a configuration uses a JMS Source with a JNDI LDAP data source URI when an attacker has control of the target LDAP server. This issue is fixed by limiting JNDI to allow only the use of the java protocol or no protocol.

fstec логотип

BDU:2022-05232

CVSS3: 9.8
fstec
больше 3 лет назад

Уязвимость компонента JMSMessageConsumer программного средства для передачи больших объемов потоковых данных Apache Flume, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 85%
0.0266
Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2022-34916

Дефекты

CWE-20
CWE-74