GHSA-w3f4-3q6j-rh82

Опубликовано: 30 июн. 2020

Источник: github

Github: Прошло ревью

CVSS3: 8.1

Описание

Deserialization of Untrusted Data in jackson-databind

FasterXML jackson-databind through 2.8.11 and 2.9.x through 2.9.3 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 and CVE-2017-17485 deserialization flaws. This is exploitable via two different gadgets that bypass a blacklist.

Ссылки

Пакеты

Наименование

com.fasterxml.jackson.core:jackson-databind

maven

Затронутые версииВерсия исправления

>= 2.8.0, < 2.8.11

2.8.11.1

Наименование

com.fasterxml.jackson.core:jackson-databind

maven

Затронутые версииВерсия исправления

>= 2.9.0, < 2.9.4

2.9.4

Наименование

com.fasterxml.jackson.core:jackson-databind

maven

Затронутые версииВерсия исправления

< 2.7.9.5

2.7.9.5

EPSS

Процентиль: 82%

0.01738

Низкий

8.1 High

CVSS3

CVE ID

CVE-2018-5968

Дефекты

CWE-184

CWE-502

Связанные уязвимости

CVE-2018-5968

CVSS3: 8.1

ubuntu

около 8 лет назад

CVE-2018-5968

CVSS3: 8.1

redhat

около 8 лет назад

CVE-2018-5968

CVSS3: 8.1

nvd

около 8 лет назад

CVE-2018-5968

CVSS3: 8.1

debian

около 8 лет назад

FasterXML jackson-databind through 2.8.11 and 2.9.x through 2.9.3 allo ...

BDU:2019-04797

CVSS3: 8.1

fstec

около 8 лет назад

Уязвимость библиотеки Jackson-databind, связанная с недостатками механизма десериализации, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 82%

0.01738

Низкий

8.1 High

CVSS3

CVE ID

CVE-2018-5968

Дефекты

CWE-184

CWE-502