GHSA-rgv9-q543-rqg4

Опубликовано: 03 окт. 2022

Источник: github

Github: Прошло ревью

CVSS4: 8.2

CVSS3: 7.5

Описание

Uncontrolled Resource Consumption in FasterXML jackson-databind

In FasterXML jackson-databind before 2.12.7.1 and in 2.13.x before 2.13.4, resource exhaustion can occur because of a lack of a check in BeanDeserializer._deserializeFromArray to prevent use of deeply nested arrays. This issue can only happen when the UNWRAP_SINGLE_VALUE_ARRAYS feature is explicitly enabled.

Ссылки

Пакеты

Наименование

com.fasterxml.jackson.core:jackson-databind

maven

Затронутые версииВерсия исправления

< 2.12.7.1

2.12.7.1

Наименование

com.fasterxml.jackson.core:jackson-databind

maven

Затронутые версииВерсия исправления

>= 2.13.0, < 2.13.4

2.13.4

EPSS

Процентиль: 49%

0.00259

Низкий

8.2 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2022-42004

Дефекты

CWE-400

CWE-502

Связанные уязвимости

CVE-2022-42004

CVSS3: 7.5

ubuntu

больше 3 лет назад

In FasterXML jackson-databind before 2.13.4, resource exhaustion can occur because of a lack of a check in BeanDeserializer._deserializeFromArray to prevent use of deeply nested arrays. An application is vulnerable only with certain customized choices for deserialization.

CVE-2022-42004

CVSS3: 7.5

redhat

больше 3 лет назад

CVE-2022-42004

CVSS3: 7.5

nvd

больше 3 лет назад

CVE-2022-42004

CVSS3: 7.5

debian

больше 3 лет назад

In FasterXML jackson-databind before 2.13.4, resource exhaustion can o ...

BDU:2023-05617

CVSS3: 7.5

fstec

больше 3 лет назад

Уязвимость библиотеки Jackson-databind проекта FasterXML, связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 49%

0.00259

Низкий

8.2 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2022-42004

Дефекты

CWE-400

CWE-502