Service Level Manager
Уязвимости
29
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.8904
Распределение по критичности
Критический
2
Высокий
25
Средний
2
Низкий
0
Затронутые диапазоны версий
≤ 1.0
Также сопоставлено как (исходные строки): steelstore_cloud_integrated_storage,cloud_backup,snapcenter,storage_automation_store,cloud_manager,oncommand_workflow_automation,service_level_manager,oncommand_insight,snap_creator_framework,active_iq_unified_manager,oncommand_api_services
Топ уязвимостей
CVE-2019-14379SubTypeValidator.java в FasterXML jackson-databind до версии 2.9.9.2 неправильно обрабатывает типизацию по умолчанию при использовании ehcache (из-за net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), что приводит к удаленному выполнению кода.
CVE-2019-10744Версии lodash ниже 4.17.12 уязвимы для Prototype Pollution. Функцию defaultsDeep можно обманом заставить добавлять или изменять свойства Object.prototype с помощью полезной нагрузки конструктора.
CVE-2021-20190Обнаружена уязвимость в jackson-databind версий до 2.9.10.7. FasterXML неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией. Наибольшая угроза от этой уязвимости заключается в конфиденциальности и целостности данных, а также в доступности системы.
CVE-2020-8840FasterXML jackson-databind 2.0.0–2.9.10.2 не имеет определенной блокировки xbean-reflect/JNDI, как продемонстрировано org.apache.xbean.propertyeditor.JndiConverter.
CVE-2020-36189FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource.
CVE-2020-36188FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource.
CVE-2020-36187FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource.
CVE-2020-36186FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource.
CVE-2020-36185FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource.
CVE-2020-36184FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource.
CVE-2020-36183FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool.
CVE-2020-36182FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS.
CVE-2020-36181FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS.
CVE-2020-36180FasterXML jackson-databind 2.x до 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS.
CVE-2020-36179FasterXML jackson-databind 2.x до 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS.
CVE-2020-35728FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанное с com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (также известной как встроенная Xalan в org.glassfish.web/javax.servlet.jsp.jstl).
CVE-2020-35491FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.commons.dbcp2.datasources.SharedPoolDataSource.
CVE-2020-35490FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.commons.dbcp2.datasources.PerUserPoolDataSource.
CVE-2019-20330FasterXML jackson-databind 2.x до версии 2.9.10.2 не имеет определенной блокировки net.sf.ehcache.
CVE-2017-5645В Apache Log4j 2.x до 2.8.2, при использовании TCP-сокета или UDP-сокета для получения сериализованных событий журнала из другого приложения, можно отправить специально созданную двоичную полезную нагрузку, которая при десериализации может выполнить произвольный код.
CVE-2017-15518Все версии OnCommand API Services до 2.1 и NetApp Service Level Manager до 1.0RC4 регистрируют пароль учетной записи привилегированного пользователя базы данных. Всем пользователям настоятельно рекомендуется перейти на исправленную версию. Поскольку затронутый пароль изменяется во время каждого обновления/установки, никаких дальнейших действий не требуется.
CVE-2020-25649Обнаружена уязвимость в FasterXML Jackson Databind, где не была обеспечена надлежащая защита от расширения сущностей. Эта уязвимость позволяет проводить атаки XML External Entity (XXE). Наибольшая угроза от этой уязвимости заключается в целостности данных.
CVE-2020-25644Обнаружена утечка памяти в WildFly OpenSSL в версиях до 1.1.3.Final, когда он удаляет сеанс HTTP. Это может позволить злоумышленнику вызвать OOM, что приведет к отказу в обслуживании. Наибольшая угроза от этой уязвимости заключается в доступности системы.
CVE-2019-17359ASN.1 парсер в Bouncy Castle Crypto (aka BC Java) 1.63 может вызвать большую попытку выделения памяти и, как следствие, ошибку OutOfMemoryError через специально созданные ASN.1 данные. Это исправлено в версии 1.64.
CVE-2019-17267Проблема с полиморфной типизацией была обнаружена в FasterXML jackson-databind до 2.9.10. Это связано с net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup.