Описание
Dropwizard-Validation before 1.3.19, and 2.0.2 may allow arbitrary code execution on the host system, with the privileges of the Dropwizard service account, by injecting arbitrary Java Expression Language expressions when using the self-validating feature.
The issue has been fixed in dropwizard-validation 1.3.19 and 2.0.2.
Ссылки
- Third Party Advisory
- Third Party Advisory
- Third Party Advisory
- PatchThird Party Advisory
- PatchThird Party Advisory
- PatchThird Party Advisory
- ExploitThird Party Advisory
- Third Party Advisory
- Third Party Advisory
- Third Party Advisory
- PatchThird Party Advisory
- PatchThird Party Advisory
- PatchThird Party Advisory
- ExploitThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 1.3.19 (исключая)Версия от 2.0.0 (включая) до 2.0.2 (исключая)
Одно из
cpe:2.3:a:dropwizard:dropwizard_validation:*:*:*:*:*:*:*:*
cpe:2.3:a:dropwizard:dropwizard_validation:*:*:*:*:*:*:*:*
Конфигурация 2Версия до 21.1.2 (исключая)
cpe:2.3:a:oracle:blockchain_platform:*:*:*:*:*:*:*:*
EPSS
Процентиль: 91%
0.06297
Низкий
7.9 High
CVSS3
8.8 High
CVSS3
9 Critical
CVSS2
Дефекты
CWE-74
CWE-74
Связанные уязвимости
CVSS3: 7.9
github
почти 6 лет назад
Remote Code Execution (RCE) vulnerability in dropwizard-validation
CVSS3: 8.8
fstec
почти 6 лет назад
Уязвимость программного средства Dropwizard-Validation, существующая из-за непринятия мер по нейтрализации специальных элементов, позволяющая нарушителю выполнить произвольный код с привилегиями учетной записи службы Dropwizard
EPSS
Процентиль: 91%
0.06297
Низкий
7.9 High
CVSS3
8.8 High
CVSS3
9 Critical
CVSS2
Дефекты
CWE-74
CWE-74