Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2019-10174

Опубликовано: 14 нояб. 2019
Источник: redhat
CVSS3: 7.5
EPSS Низкий

Описание

A vulnerability was found in Infinispan such that the invokeAccessibly method from the public class ReflectionUtil allows any application class to invoke private methods in any class with Infinispan's privileges. The attacker can use reflection to introduce new, malicious behavior into the application.

Отчет

Red Hat OpenStack Platform's OpenDaylight contains the vulnerable library. This library is a requirement of other dependencies (Karaf and Hibernate). Under supported deployments, the vulnerable functionality is not utilized. Based on this, no OpenDaylight versions will not be fixed.

Меры по смягчению последствий

There is no known mitigation for this issue.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Decision Manager 7infinispan-coreNot affected
Red Hat JBoss Data Virtualization 6infinispan-coreOut of support scope
Red Hat JBoss Enterprise Application Platform 6infinispan-coreNot affected
Red Hat JBoss Fuse Service Works 6infinispan-coreOut of support scope
Red Hat JBoss Operations Network 3infinispan-coreAffected
Red Hat OpenStack Platform 13 (Queens)opendaylightWill not fix
Red Hat OpenStack Platform 14 (Rocky)opendaylightWill not fix
Red Hat OpenStack Platform 9 (Mitaka)opendaylightWill not fix
Red Hat Process Automation 7infinispan-coreNot affected
EAP-CD 19 Tech Previewinfinispan-coreFixedRHSA-2020:233328.05.2020

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important
Дефект:
CWE-470
https://bugzilla.redhat.com/show_bug.cgi?id=1703469infinispan: invokeAccessibly method from ReflectionUtil class allows to invoke private methods

EPSS

Процентиль: 77%
0.01037
Низкий

7.5 High

CVSS3

Связанные уязвимости

nvd логотип

CVE-2019-10174

CVSS3: 8.8
nvd
около 6 лет назад

A vulnerability was found in Infinispan such that the invokeAccessibly method from the public class ReflectionUtil allows any application class to invoke private methods in any class with Infinispan's privileges. The attacker can use reflection to introduce new, malicious behavior into the application.

github логотип

GHSA-h47x-2j37-fw5m

CVSS3: 7.5
github
больше 3 лет назад

Use of Externally-Controlled Input to Select Classes or Code in Infinispan

fstec логотип

BDU:2020-02260

CVSS3: 7.5
fstec
почти 7 лет назад

Уязвимость метода открытого класса invokeAccessibly программного обеспечения для хранения данных Infinispan связана с применением входных данных с внешним управлением для выбора классов. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

EPSS

Процентиль: 77%
0.01037
Низкий

7.5 High

CVSS3