Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-17571

Опубликовано: 20 дек. 2019
Источник: nvd
CVSS3: 9.8
CVSS2: 7.5
EPSS Средний

Описание

Included in Log4j 1.2 is a SocketServer class that is vulnerable to deserialization of untrusted data which can be exploited to remotely execute arbitrary code when combined with a deserialization gadget when listening to untrusted network traffic for log data. This affects Log4j versions up to 1.2 up to 1.2.17.

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:apache:log4j:*:*:*:*:*:*:*:*
Версия до 1.2.17 (включая)
Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
Конфигурация 3
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
Конфигурация 4
cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*
Конфигурация 5

Одно из

cpe:2.3:a:netapp:oncommand_system_manager:*:*:*:*:*:*:*:*
Версия от 3.0 (включая) до 3.1.3 (включая)
cpe:2.3:a:netapp:oncommand_workflow_automation:-:*:*:*:*:*:*:*
Конфигурация 6

Одно из

cpe:2.3:a:oracle:application_testing_suite:13.3.0.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:communications_network_integrity:*:*:*:*:*:*:*:*
Версия от 7.3.2 (включая) до 7.3.6 (включая)
cpe:2.3:a:oracle:endeca_information_discovery_studio:3.2.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:financial_services_lending_and_leasing:*:*:*:*:*:*:*:*
Версия от 14.1.0 (включая) до 14.8.0 (включая)
cpe:2.3:a:oracle:financial_services_lending_and_leasing:12.5.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:mysql_enterprise_monitor:*:*:*:*:*:*:*:*
Версия до 8.0.29 (включая)
cpe:2.3:a:oracle:primavera_gateway:*:*:*:*:*:*:*:*
Версия от 16.2 (включая) до 16.2.11 (включая)
cpe:2.3:a:oracle:primavera_gateway:*:*:*:*:*:*:*:*
Версия от 17.12.0 (включая) до 17.12.7 (включая)
cpe:2.3:a:oracle:rapid_planning:12.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:rapid_planning:12.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:retail_extract_transform_and_load:19.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:retail_service_backbone:14.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:retail_service_backbone:15.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:retail_service_backbone:16.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:weblogic_server:10.3.6.0.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:weblogic_server:12.1.3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:weblogic_server:12.2.1.3.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:weblogic_server:12.2.1.4.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:weblogic_server:14.1.1.0.0:*:*:*:*:*:*:*
Конфигурация 7
cpe:2.3:a:apache:bookkeeper:*:*:*:*:*:*:*:*
Версия до 4.14.3 (исключая)

EPSS

Процентиль: 98%
0.53459
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-502
CWE-502

Связанные уязвимости

ubuntu логотип

CVE-2019-17571

CVSS3: 9.8
ubuntu
больше 5 лет назад

Included in Log4j 1.2 is a SocketServer class that is vulnerable to deserialization of untrusted data which can be exploited to remotely execute arbitrary code when combined with a deserialization gadget when listening to untrusted network traffic for log data. This affects Log4j versions up to 1.2 up to 1.2.17.

redhat логотип

CVE-2019-17571

CVSS3: 9.8
redhat
больше 5 лет назад

Included in Log4j 1.2 is a SocketServer class that is vulnerable to deserialization of untrusted data which can be exploited to remotely execute arbitrary code when combined with a deserialization gadget when listening to untrusted network traffic for log data. This affects Log4j versions up to 1.2 up to 1.2.17.

debian логотип

CVE-2019-17571

CVSS3: 9.8
debian
больше 5 лет назад

Included in Log4j 1.2 is a SocketServer class that is vulnerable to de ...

suse-cvrf логотип

openSUSE-SU-2020:0051-1

suse-cvrf
больше 5 лет назад

Security update for log4j

suse-cvrf логотип

SUSE-SU-2020:14267-1

suse-cvrf
больше 5 лет назад

Security update for log4j

EPSS

Процентиль: 98%
0.53459
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-502
CWE-502