CVE-2020-11972

Опубликовано: 14 мая 2020

Источник: redhat

CVSS3: 9.8

EPSS Низкий

Описание

Apache Camel RabbitMQ enables Java deserialization by default. Apache Camel 2.22.x, 2.23.x, 2.24.x, 2.25.0, 3.0.0 up to 3.1.0 are affected. 2.x users should upgrade to 2.25.1, 3.x users should upgrade to 3.2.0.

A flaw was found in camel up to versions 2.25.1 and 3.x. Apache Camel RabbitMQ enables java deserialization, by default, without any means of disabling which can lead to arbitrary code being executed. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat JBoss Data Grid 7	camel-rabbitmq	Not affected
Red Hat JBoss Fuse 6	camel-rabbitmq	Affected
Red Hat Fuse 7.8.0	camel-rabbitmq	Fixed	RHSA-2020:5568	16.12.2020

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important

Дефект:

CWE-502

https://bugzilla.redhat.com/show_bug.cgi?id=1848464camel: RabbitMQ enables Java deserialization by default which could leed to remote code execution

EPSS

Процентиль: 92%

0.08393

Низкий

9.8 Critical

CVSS3

Связанные уязвимости

CVE-2020-11972

CVSS3: 9.8

nvd

больше 5 лет назад

GHSA-2x6r-7427-95cm

CVSS3: 9.8

github

больше 4 лет назад

Deserialization of Untrusted Data in Apache Camel RabbitMQ

BDU:2021-00721

CVSS3: 9.8

fstec

больше 5 лет назад

Уязвимость брокера сообщений RabbitMQ java-фреймворка Apache Camel, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

EPSS

Процентиль: 92%

0.08393

Низкий

9.8 Critical

CVSS3