Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2018-14721

Опубликовано: 27 июл. 2018
Источник: redhat
CVSS3: 6.8
EPSS Низкий

Описание

FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to conduct server-side request forgery (SSRF) attacks by leveraging failure to block the axis2-jaxws class from polymorphic deserialization.

Отчет

Red Hat Satellite 6 is not affected by this issue, since its candlepin component doesn't bundle axis2-jaxws jar. Red Hat Virtualization is not affected by this issue, since its does not bundle axis2-jaxws jar.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat BPM Suite 6jackson-databindWill not fix
Red Hat Enterprise Linux 8jackson-databindNot affected
Red Hat JBoss A-MQ 6jackson-databindOut of support scope
Red Hat JBoss BRMS 6jackson-databindWill not fix
Red Hat JBoss Data Virtualization 6jackson-databindWill not fix
Red Hat JBoss Enterprise Application Platform 6jackson-databindNot affected
Red Hat JBoss Fuse 6jackson-databindWill not fix
Red Hat JBoss Fuse Integration Service 2jackson-databindWill not fix
Red Hat JBoss Operations Network 3Core ServerNot affected
Red Hat Mobile Application Platform 4jackson-databindNot affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
Дефект:
CWE-352
https://bugzilla.redhat.com/show_bug.cgi?id=1666428jackson-databind: server-side request forgery (SSRF) in axis2-jaxws class

EPSS

Процентиль: 93%
0.09436
Низкий

6.8 Medium

CVSS3

Связанные уязвимости

ubuntu логотип

CVE-2018-14721

CVSS3: 10
ubuntu
около 7 лет назад

FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to conduct server-side request forgery (SSRF) attacks by leveraging failure to block the axis2-jaxws class from polymorphic deserialization.

nvd логотип

CVE-2018-14721

CVSS3: 10
nvd
около 7 лет назад

FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to conduct server-side request forgery (SSRF) attacks by leveraging failure to block the axis2-jaxws class from polymorphic deserialization.

debian логотип

CVE-2018-14721

CVSS3: 10
debian
около 7 лет назад

FasterXML jackson-databind 2.x before 2.9.7 might allow remote attacke ...

github логотип

GHSA-9mxf-g3x6-wv74

CVSS3: 10
github
около 7 лет назад

Server-Side Request Forgery (SSRF) in jackson-databind

fstec логотип

BDU:2019-01755

CVSS3: 10
fstec
больше 7 лет назад

Уязвимость библиотеки jackson-databind, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку

EPSS

Процентиль: 93%
0.09436
Низкий

6.8 Medium

CVSS3