CVE-2021-20190

Опубликовано: 19 янв. 2021

Источник: nvd

CVSS3: 8.1

CVSS2: 8.3

EPSS Низкий

Описание

A flaw was found in jackson-databind before 2.9.10.7. FasterXML mishandles the interaction between serialization gadgets and typing. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.

Ссылки

https://bugzilla.redhat.com/show_bug.cgi?id=1916633
Issue Tracking
Patch
Third Party Advisory
https://github.com/FasterXML/jackson-databind/issues/2854
Patch
Third Party Advisory
https://lists.apache.org/thread.html/r380e9257bacb8551ee6fcf2c59890ae9477b2c78e553fa9ea08e9d9a%40%3Ccommits.nifi.apache.org%3E
https://lists.debian.org/debian-lts-announce/2021/04/msg00025.html
Mailing List
Third Party Advisory
https://security.netapp.com/advisory/ntap-20210219-0008/
Third Party Advisory
https://www.oracle.com//security-alerts/cpujul2021.html
Third Party Advisory
https://bugzilla.redhat.com/show_bug.cgi?id=1916633
Issue Tracking
Patch
Third Party Advisory
https://github.com/FasterXML/jackson-databind/issues/2854
Patch
Third Party Advisory
https://lists.apache.org/thread.html/r380e9257bacb8551ee6fcf2c59890ae9477b2c78e553fa9ea08e9d9a%40%3Ccommits.nifi.apache.org%3E
https://lists.debian.org/debian-lts-announce/2021/04/msg00025.html
Mailing List
Third Party Advisory
https://security.netapp.com/advisory/ntap-20210219-0008/
Third Party Advisory
https://www.oracle.com//security-alerts/cpujul2021.html
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:*

Версия до 2.6.7.5 (исключая)

cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:*

Версия от 2.7.0 (включая) до 2.9.10.7 (исключая)

Конфигурация 2

Одно из

cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:linux:*:*

cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:windows:*:*

cpe:2.3:a:netapp:oncommand_api_services:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:oncommand_insight:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:service_level_manager:-:*:*:*:*:*:*:*

Конфигурация 3

cpe:2.3:a:apache:nifi:*:*:*:*:*:*:*:*

Версия от 1.7.0 (включая) до 1.12.1 (включая)

Конфигурация 4

cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*

Конфигурация 5

cpe:2.3:a:oracle:commerce_guided_search_and_experience_manager:11.3.2:*:*:*:*:*:*:*

EPSS

Процентиль: 60%

0.00404

Низкий

8.1 High

CVSS3

8.3 High

CVSS2

Дефекты

CWE-502

Связанные уязвимости

CVE-2021-20190

CVSS3: 8.1

ubuntu

около 5 лет назад

CVE-2021-20190

CVSS3: 8.1

redhat

около 5 лет назад

CVE-2021-20190

CVSS3: 8.1

debian

около 5 лет назад

A flaw was found in jackson-databind before 2.9.10.7. FasterXML mishan ...

GHSA-5949-rw7g-wx7w

CVSS3: 8.1

github

около 5 лет назад

Deserialization of untrusted data in jackson-databind

BDU:2024-00181

CVSS3: 8.1

fstec

около 5 лет назад

Уязвимость библиотеки jackson-databind проекта FasterXML, связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 60%

0.00404

Низкий

8.1 High

CVSS3

8.3 High

CVSS2

Дефекты

CWE-502