Drill
Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.18351
Распределение по критичности
Критический
4
Высокий
3
Средний
3
Низкий
0
Затронутые диапазоны версий
1.9.0–1.21.2≤ 1.11.0
Также сопоставлено как (исходные строки): drill,activemq,zookeeper
Топ уязвимостей
BDU:2020-00566Уязвимость реализации механизма полиморфной типизации данных библиотеки FasterXML Jackson-databind связана с недостатками обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный контроль над приложением с помощью класса net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup
BDU:2019-04782Уязвимость реализации механизма полиморфной типизации данных библиотеки jackson-databind связана с недостатками обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить вредоносную нагрузку с помощью класса com.p6spy.engine.spy.P6DataSource
BDU:2019-04778Уязвимость реализации механизма полиморфной типизации данных библиотеки jackson-databind связана с недостатками обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить вредоносную нагрузку путем обработки классов org.apache.commons.dbcp.datasources.SharedPoolDataSource и org.apache.commons.dbcp.datasources.PerUserPoolDataSource
BDU:2019-04081Уязвимость функции FasterXML (com.zaxxer.hikari.HikariDataSource) Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над системой
CVE-2023-48362XXE в плагине XML Format в Apache Drill версии 1.19.0 и выше позволяет пользователю читать любой файл на удаленной файловой системе или выполнять команды через вредоносный XML-файл.
Пользователям рекомендуется обновиться до версии 1.21.2, которая исправляет эту проблему.
CVE-2019-14439Проблема полиморфной типизации обнаружена в FasterXML jackson-databind 2.x до версии 2.9.9.2. Это происходит, когда включена типизация по умолчанию (глобально или для определенного свойства) для внешне доступной конечной точки JSON, и в classpath сервиса есть jar logback.
CVE-2019-0201Проблема присутствует в Apache ZooKeeper 1.0.0 - 3.4.13 и 3.5.0-alpha - 3.5.4-beta. Команда ZooKeeper getACL() не проверяет какие-либо разрешения при извлечении ACL запрошенного узла и возвращает всю информацию, содержащуюся в поле ACL Id, в виде строки в открытом виде. DigestAuthenticationProvider перегружает поле Id хэш-значением, которое используется для аутентификации пользователя. Как следствие, если используется дайджест-аутентификация, значение хеша без соли будет раскрыто запросом getACL() для неаутентифицированных или непривилегированных пользователей.
CVE-2010-5312Уязвимость межсайтового скриптинга (XSS) в jquery.ui.dialog.js в виджете Dialog в jQuery UI до версии 1.10.0 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через опцию title.
CVE-2017-12630В Apache Drill 1.11.0 и более ранних версиях при отправке формы со страницы запросов пользователи могут передавать произвольный скрипт или HTML, который впоследствии вступит в силу на странице профиля. Пример: после отправки специального скрипта, возвращающего информацию о файлах cookie со страницы запросов, злоумышленник может получить эту информацию со страницы профиля.
CVE-2019-10241В Eclipse Jetty версий 9.2.26 и старше, 9.3.25 и старше, и 9.4.15 и старше, сервер уязвим для XSS-условий, если удаленный клиент ИСПОЛЬЗУЕТ специально отформатированный URL против DefaultServlet или ResourceHandler, который настроен для отображения списка содержимого каталога.