Описание
Множественные уязвимости Apache Batik XML
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета Apache Batik XML или Установить обновление для пакета(ов) Apache Batik XML
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
03.11.2022
CVE-2022-42890
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость библиотеки рендеринга, генерации и управления графикой SVG Apache Batik XML связана с тем, что приложение позволяет запускать классы Java через JavaScript. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, использовать JavaScript для выполнения класса Java в системе и получения результатов его выполнения
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2022-41704
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость библиотеки рендеринга, генерации и управления графикой SVG Apache Batik XML связана с небезопасной обработкой ссылок на файлы .jar внутри изображений .svg. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загрузить вредоносное изображение .svg, содержащее ссылки на файлы .jar, и выполнить в системе произвольный код Java
7.5 High
CVSS3
7.8 High
CVSS2