CVE-2024-47561

Опубликовано: 03 окт. 2024

Источник: nvd

CVSS3: 7.3

EPSS Низкий

Описание

Schema parsing in the Java SDK of Apache Avro 1.11.3 and previous versions allows bad actors to execute arbitrary code. Users are recommended to upgrade to version 1.11.4 or 1.12.0, which fix this issue.

Ссылки

https://lists.apache.org/thread/c2v7mhqnmq0jmbwxqq3r5jbj1xg43h5x
Mailing List
Vendor Advisory
http://www.openwall.com/lists/oss-security/2024/10/03/1
Mailing List
Third Party Advisory
https://security.netapp.com/advisory/ntap-20241011-0003/
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:apache:avro:*:*:*:*:*:-:*:*

Версия до 1.11.4 (исключая)

Конфигурация 2

Одно из

cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:linux:*:*

cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:*

cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:windows:*:*

cpe:2.3:a:netapp:brocade_san_navigator:-:*:*:*:*:*:*:*

EPSS

Процентиль: 67%

0.00543

Низкий

7.3 High

CVSS3

Дефекты

CWE-502

Связанные уязвимости

CVE-2024-47561

CVSS3: 8.8

redhat

больше 1 года назад

GHSA-r7pg-v2c8-mfg3

CVSS3: 9.8

github

больше 1 года назад

Apache Avro Java SDK: Arbitrary Code Execution when reading Avro Data (Java SDK)

BDU:2024-07817

CVSS3: 7.3

fstec

больше 1 года назад

Уязвимость библиотеки сериализации данных Apache Avro связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированной схемы данных

EPSS

Процентиль: 67%

0.00543

Низкий

7.3 High

CVSS3

Дефекты

CWE-502