Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-11307

Опубликовано: 09 июл. 2019
Источник: nvd
CVSS3: 9.8
CVSS2: 7.5
EPSS Средний

Описание

An issue was discovered in FasterXML jackson-databind 2.0.0 through 2.9.5. Use of Jackson default typing along with a gadget class from iBatis allows exfiltration of content. Fixed in 2.7.9.4, 2.8.11.2, and 2.9.6.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:*
Версия от 2.0.0 (включая) до 2.6.7.3 (исключая)
cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:*
Версия от 2.7.0 (включая) до 2.7.9.4 (исключая)
cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:*
Версия от 2.8.0 (включая) до 2.8.11.2 (исключая)
cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:*
Версия от 2.9.0 (включая) до 2.9.6 (исключая)
Конфигурация 2
cpe:2.3:a:redhat:openshift_container_platform:3.11:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:a:redhat:openshift_container_platform:4.1:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:a:oracle:clusterware:12.1.0.2.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_instant_messaging_server:10.0.1.2.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:global_lifecycle_management_opatch:*:*:*:*:*:*:*:*
Версия до 11.2.0.3.23 (исключая)
cpe:2.3:a:oracle:global_lifecycle_management_opatch:*:*:*:*:*:*:*:*
Версия от 12.2.0.1.0 (включая) до 12.2.0.1.19 (исключая)
cpe:2.3:a:oracle:global_lifecycle_management_opatch:*:*:*:*:*:*:*:*
Версия от 13.9.4.0.0 (включая) до 13.9.4.2.1 (исключая)
cpe:2.3:a:oracle:retail_customer_management_and_segmentation_foundation:17.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:utilities_advanced_spatial_and_operational_analytics:2.7.0.1:*:*:*:*:*:*:*

EPSS

Процентиль: 94%
0.12636
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-502

Связанные уязвимости

ubuntu логотип

CVE-2018-11307

CVSS3: 9.8
ubuntu
больше 6 лет назад

An issue was discovered in FasterXML jackson-databind 2.0.0 through 2.9.5. Use of Jackson default typing along with a gadget class from iBatis allows exfiltration of content. Fixed in 2.7.9.4, 2.8.11.2, and 2.9.6.

redhat логотип

CVE-2018-11307

CVSS3: 5.6
redhat
больше 7 лет назад

An issue was discovered in FasterXML jackson-databind 2.0.0 through 2.9.5. Use of Jackson default typing along with a gadget class from iBatis allows exfiltration of content. Fixed in 2.7.9.4, 2.8.11.2, and 2.9.6.

debian логотип

CVE-2018-11307

CVSS3: 9.8
debian
больше 6 лет назад

An issue was discovered in FasterXML jackson-databind 2.0.0 through 2. ...

github логотип

GHSA-qr7j-h6gg-jmgc

CVSS3: 9.8
github
больше 6 лет назад

Deserialization of Untrusted Data in jackson-databind

fstec логотип

BDU:2019-01771

CVSS3: 8.1
fstec
больше 7 лет назад

Уязвимость библиотеки jackson-databind, связанная с недостатками механизма десериализации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

EPSS

Процентиль: 94%
0.12636
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-502