CVE-2019-14900

Опубликовано: 06 июл. 2020

Источник: nvd

CVSS3: 6.5

CVSS2: 4

EPSS Низкий

Описание

A flaw was found in Hibernate ORM in versions before 5.3.18, 5.4.18 and 5.5.0.Beta1. A SQL injection in the implementation of the JPA Criteria API can permit unsanitized literals when a literal is used in the SELECT or GROUP BY parts of the query. This flaw could allow an attacker to access unauthorized information or possibly conduct further attacks.

Ссылки

https://bugzilla.redhat.com/show_bug.cgi?id=1666499
Issue Tracking
Third Party Advisory
https://lists.apache.org/thread.html/r833c1276e41334fa675848a08daf0c61f39009f9f9a400d9f7006d44%40%3Cdev.turbine.apache.org%3E
https://security.netapp.com/advisory/ntap-20220210-0020/
Third Party Advisory
https://bugzilla.redhat.com/show_bug.cgi?id=1666499
Issue Tracking
Third Party Advisory
https://lists.apache.org/thread.html/r833c1276e41334fa675848a08daf0c61f39009f9f9a400d9f7006d44%40%3Cdev.turbine.apache.org%3E
https://security.netapp.com/advisory/ntap-20220210-0020/
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:hibernate:hibernate_orm:*:*:*:*:*:*:*:*

Версия до 5.3.18 (исключая)

cpe:2.3:a:hibernate:hibernate_orm:*:*:*:*:*:*:*:*

Версия от 5.4.0 (включая) до 5.4.18 (исключая)

Конфигурация 2

Одно из

cpe:2.3:a:redhat:build_of_quarkus:-:*:*:*:text-only:*:*:*

cpe:2.3:a:redhat:decision_manager:7.0:*:*:*:*:*:*:*

cpe:2.3:a:redhat:fuse:*:*:*:*:*:*:*:*

Версия до 7.8.0 (исключая)

cpe:2.3:a:redhat:jboss_data_grid:7.0.0:*:*:*:*:*:*:*

cpe:2.3:a:redhat:jboss_enterprise_application_platform:-:*:*:*:text-only:*:*:*

cpe:2.3:a:redhat:jboss_middleware_text-only_advisories:-:*:*:*:*:*:*:*

cpe:2.3:a:redhat:openstack:10:*:*:*:*:*:*:*

cpe:2.3:a:redhat:openstack:13:*:*:*:*:*:*:*

cpe:2.3:a:redhat:openstack:14:*:*:*:*:*:*:*

cpe:2.3:a:redhat:single_sign-on:-:*:*:*:text-only:*:*:*

Конфигурация 3

cpe:2.3:a:quarkus:quarkus:*:*:*:*:*:*:*:*

Версия до 1.5.2 (включая)

Конфигурация 4

Одновременно

Одно из

cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.3:*:*:*:*:*:*:*

cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.4:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

Одно из

cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.3:*:*:*:*:*:*:*

cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.4:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.3:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:*

Конфигурация 7

Одновременно

cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.2:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*

Конфигурация 8

Одновременно

cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.2:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*

Конфигурация 9

Одновременно

cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.2:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:*

EPSS

Процентиль: 80%

0.01405

Низкий

6.5 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-89

Связанные уязвимости

CVE-2019-14900

CVSS3: 6.5

redhat

больше 5 лет назад

CVE-2019-14900

CVSS3: 6.5

debian

больше 5 лет назад

A flaw was found in Hibernate ORM in versions before 5.3.18, 5.4.18 an ...

GHSA-8grg-q944-cch5

CVSS3: 6.5

github

почти 4 года назад

SQL Injection in Hibernate ORM

EPSS

Процентиль: 80%

0.01405

Низкий

6.5 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-89