Snapmanager
Уязвимости
180
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.9851
Распределение по критичности
Критический
5
Высокий
60
Средний
79
Низкий
36
Затронутые диапазоны версий
< 3.4.2
Также сопоставлено как (исходные строки): active_iq_unified_manager,cloud_insights_acquisition_unit,cloud_secure_agent,hci_management_node,oncommand_insight,snapmanager,santricity_storage_plugin,santricity_unified_manager,e-series_santricity_os_controller,oncommand_workflow_automation,solidfire,7-mode_transition_tool
Топ уязвимостей
CVE-2017-7658В Eclipse Jetty Server, версиях 9.2.x и более старых, 9.3.x (все конфигурации, отличные от HTTP/1.x) и 9.4.x (все конфигурации HTTP/1.x), когда представлены два заголовка content-lengths, Jetty игнорирует второй. Когда представлен content-length и заголовок chunked encoding, content-length игнорируется (согласно RFC 2616). Если посредник принял решение о более короткой длине, но все же передал более длинное тело, то содержимое тела могло быть интерпретировано Jetty как конвейерный запрос. Если посредник накладывал авторизацию, то поддельный конвейерный запрос обойдет эту авторизацию.
CVE-2017-7657В Eclipse Jetty, версиях 9.2.x и более старых, 9.3.x (все конфигурации) и 9.4.x (нестандартная конфигурация с включенным соответствием RFC2616), чанки transfer-encoding обрабатываются плохо. Анализ длины чанка был уязвим к переполнению целого числа. Таким образом, большой размер чанка мог быть интерпретирован как меньший размер чанка, и контент, отправленный как тело чанка, мог быть интерпретирован как конвейерный запрос. Если Jetty был развернут за посредником, который наложил некоторую авторизацию, и этот посредник позволял произвольно большим чанкам передаваться без изменений, то этот недостаток можно было использовать для обхода авторизации, наложенной посредником, поскольку поддельный конвейерный запрос не был бы интерпретирован посредником как запрос.
CVE-2016-9841inffast.c в zlib 1.2.8 может позволить зависимым от контекста злоумышленникам оказать неуказанное воздействие, используя неправильную арифметику указателей.
CVE-2020-26217XStream до версии 1.4.14 уязвим для удаленного выполнения кода. Уязвимость может позволить удаленному злоумышленнику запускать произвольные команды оболочки только путем манипулирования обработанным входным потоком. Затронуты только пользователи, которые полагаются на черные списки. Все, кто использует список разрешений Security Framework XStream, не затронуты. В связанной консультации представлены обходные пути для пользователей, которые не могут выполнить обновление. Проблема исправлена в версии 1.4.14.
CVE-2018-2938Уязвимость в компоненте Java SE пакета Oracle Java SE (подкомпонент: Java DB). Поддерживаемые версии, подверженные уязвимости: Java SE: 6u191, 7u181 и 8u172. Трудно эксплуатируемая уязвимость позволяет неаутентифицированному злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE. Хотя уязвимость находится в Java SE, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Java SE. Примечание: эта уязвимость может быть использована только путем предоставления данных API в указанном компоненте без использования ненадежных приложений Java Web Start или ненадежных Java-апплетов, например, через веб-сервис. CVE-2018-2938 устраняет CVE-2018-1313. Базовая оценка CVSS 3.0 — 9.0 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H).
CVE-2022-23305По замыслу, JDBCAppender в Log4j 1.2.x принимает оператор SQL в качестве параметра конфигурации, где значения для вставки являются преобразователями из PatternLayout. Конвертер сообщений, %m, скорее всего, всегда будет включен. Это позволяет злоумышленникам манипулировать SQL, вводя специально созданные строки в поля ввода или заголовки приложения, которые регистрируются, что позволяет выполнять непредусмотренные SQL-запросы. Обратите внимание, что эта проблема затрагивает только Log4j 1.x, когда он специально настроен для использования JDBCAppender, что не является значением по умолчанию. Начиная с версии 2.0-beta8, JDBCAppender был повторно представлен с надлежащей поддержкой параметризованных SQL-запросов и дальнейшей настройкой столбцов, записываемых в журналы. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует перейти на Log4j 2, поскольку он решает многочисленные другие проблемы предыдущих версий.
CVE-2022-23302JMSSink во всех версиях Log4j 1.x уязвим для десериализации ненадежных данных, когда злоумышленник имеет доступ на запись к конфигурации Log4j или если конфигурация ссылается на службу LDAP, к которой злоумышленник имеет доступ. Злоумышленник может предоставить конфигурацию TopicConnectionFactoryBindingName, в результате чего JMSSink выполнит JNDI-запросы, которые приведут к удаленному выполнению кода аналогично CVE-2021-4104. Обратите внимание, что эта проблема затрагивает только Log4j 1.x, если он специально настроен для использования JMSSink, что не является значением по умолчанию. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует перейти на Log4j 2, поскольку он решает многочисленные другие проблемы предыдущих версий.
CVE-2017-10346Уязвимость в компоненте Java SE, Java SE Embedded Oracle Java SE (подкомпонент: Hotspot). Уязвимые поддерживаемые версии: Java SE: 6u161, 7u151, 8u144 и 9; Java SE Embedded: 8u144. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику, имеющему доступ к сети через несколько протоколов, скомпрометировать Java SE, Java SE Embedded. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Java SE, Java SE Embedded, атаки могут существенно повлиять на дополнительные продукты. Успешные атаки с использованием этой уязвимости могут привести к захвату Java SE, Java SE Embedded. Примечание: Эта уязвимость относится к развертываниям Java, обычно на клиентах, запускающих изолированные приложения Java Web Start или изолированные Java-апплеты, которые загружают и запускают ненадежный код (например, код, поступающий из Интернета) и полагаются на песочницу Java для обеспечения безопасности. Эта уязвимость не относится к развертываниям Java, обычно на серверах, которые загружают и запускают только доверенный код (например, код, установленный администратором). CVSS 3.0 Base Score 9.6 (Воздействие на конфиденциальность, целостность и доступность). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H).
CVE-2017-10285Уязвимость в компоненте Java SE, Java SE Embedded Oracle Java SE (подкомпонент: RMI). Поддерживаемые версии: Java SE: 6u161, 7u151, 8u144 и 9; Java SE Embedded: 8u144. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом по нескольким протоколам скомпрометировать Java SE, Java SE Embedded. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Java SE, Java SE Embedded, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Java SE, Java SE Embedded. Примечание: эта уязвимость применяется к развертываниям Java, обычно в клиентах, запускающих изолированные приложения Java Web Start или изолированные апплеты Java, которые загружают и запускают ненадежный код (например, код, поступающий из Интернета) и полагаются на изолированную среду Java для обеспечения безопасности. Эта уязвимость не применяется к развертываниям Java, обычно на серверах, которые загружают и запускают только доверенный код (например, код, установленный администратором). CVSS 3.0 Базовая оценка 9.6 (Воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H).
CVE-2017-10111Уязвимость в компоненте Java SE, Java SE Embedded Oracle Java SE (подкомпонент: Libraries). Поддерживаемая версия, подверженная уязвимости: Java SE: 8u131; Java SE Embedded: 8u131. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE, Java SE Embedded. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и хотя уязвимость находится в Java SE, Java SE Embedded, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Java SE, Java SE Embedded. Примечание: эта уязвимость относится к развертываниям Java, обычно в клиентах, запускающих изолированные приложения Java Web Start или изолированные апплеты Java, которые загружают и запускают ненадежный код (например, код, поступающий из Интернета) и полагаются на изолированную среду Java для обеспечения безопасности. Эта уязвимость не относится к развертываниям Java, обычно на серверах, которые загружают и запускают только доверенный код (например, код, установленный администратором). Базовая оценка CVSS 3.0 9.6 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H).
CVE-2017-10110Уязвимость в компоненте Java SE Oracle Java SE (подкомпонент: AWT). Поддерживаемые версии, подверженные уязвимости: Java SE: 6u151, 7u141 и 8u131. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и хотя уязвимость находится в Java SE, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Java SE. Примечание: эта уязвимость относится к развертываниям Java, обычно в клиентах, запускающих изолированные приложения Java Web Start или изолированные апплеты Java, которые загружают и запускают ненадежный код (например, код, поступающий из Интернета) и полагаются на изолированную среду Java для обеспечения безопасности. Эта уязвимость не относится к развертываниям Java, обычно на серверах, которые загружают и запускают только доверенный код (например, код, установленный администратором). Базовая оценка CVSS 3.0 9.6 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H).
CVE-2017-10107Уязвимость в компоненте Java SE, Java SE Embedded Oracle Java SE (подкомпонент: RMI). Поддерживаемые версии: Java SE: 6u151, 7u141 и 8u131; Java SE Embedded: 8u131. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику, имеющему доступ к сети по нескольким протоколам, скомпрометировать Java SE, Java SE Embedded. Для успешных атак требуется взаимодействие человека, отличного от злоумышленника, и, хотя уязвимость находится в Java SE, Java SE Embedded, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Java SE, Java SE Embedded. Примечание: эта уязвимость относится к развертываниям Java, обычно в клиентах, запускающих приложения Java Web Start или апплеты Java в изолированной среде, которые загружают и запускают ненадежный код (например, код, поступающий из Интернета) и полагаются на изолированную среду Java для обеспечения безопасности. Эта уязвимость не относится к развертываниям Java, обычно на серверах, которые загружают и запускают только доверенный код (например, код, установленный администратором). Базовая оценка CVSS 3.0 9.6 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H).
CVE-2017-10101Уязвимость в компоненте Java SE, Java SE Embedded продукта Oracle Java SE (субкомпонент: JAXP). Поддерживаемые версии, подверженные уязвимости: Java SE: 6u151, 7u141 и 8u131; Java SE Embedded: 8u131. Легко эксплуатируемая уязвимость позволяет неаутентифицированному злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE, Java SE Embedded. Для успешных атак требуется взаимодействие с пользователем, отличным от злоумышленника, и хотя уязвимость находится в Java SE, Java SE Embedded, атаки могут существенно повлиять на дополнительные продукты. Успешные атаки с использованием этой уязвимости могут привести к захвату Java SE, Java SE Embedded. Примечание: эта уязвимость относится к развертываниям Java, обычно в клиентах, запускающих приложения Java Web Start или апплеты Java в песочнице, которые загружают и запускают ненадежный код (например, код, поступающий из Интернета) и полагаются на песочницу Java для обеспечения безопасности. Эта уязвимость не относится к развертываниям Java, обычно на серверах, которые загружают и запускают только доверенный код (например, код, установленный администратором). Базовая оценка CVSS 3.0: 9.6 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H).
CVE-2017-10096Уязвимость в компоненте Java SE, Java SE Embedded пакета Oracle Java SE (подкомпонент: JAXP). Поддерживаемые версии, подверженные уязвимости: Java SE: 6u151, 7u141 и 8u131; Java SE Embedded: 8u131. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE, Java SE Embedded. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Java SE, Java SE Embedded, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки на эту уязвимость могут привести к захвату Java SE, Java SE Embedded. Примечание: Эта уязвимость применима к развертываниям Java, как правило, в клиентах, запускающих приложения Java Web Start в изолированной программной среде или апплеты Java в изолированной программной среде, которые загружают и запускают ненадежный код (например, код, поступающий из Интернета) и полагаются на изолированную программную среду Java для обеспечения безопасности. Эта уязвимость не применима к развертываниям Java, как правило, на серверах, которые загружают и запускают только надежный код (например, код, установленный администратором). Базовая оценка CVSS 3.0: 9.6 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H).
CVE-2017-10090Уязвимость в компоненте Java SE, Java SE Embedded в Oracle Java SE (подкопонент: Libraries). Поддерживаемые версии, подверженные уязвимости: Java SE: 7u141 и 8u131; Java SE Embedded: 8u131. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE, Java SE Embedded. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Java SE, Java SE Embedded, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Java SE, Java SE Embedded. Примечание: эта уязвимость относится к развертываниям Java, обычно в клиентах, запускающих изолированные веб-приложения Java Web Start или изолированные апплеты Java, которые загружают и запускают ненадежный код (например, код, поступающий из Интернета) и полагаются на изолированную среду Java для обеспечения безопасности. Эта уязвимость не относится к развертываниям Java, обычно на серверах, которые загружают и запускают только доверенный код (например, код, установленный администратором). Базовая оценка CVSS 3.0 составляет 9.6 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H).
CVE-2017-10089Уязвимость в компоненте Java SE в Oracle Java SE (подкопонент: ImageIO). Поддерживаемые версии, подверженные уязвимости: Java SE: 6u151, 7u141 и 8u131. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Java SE, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Java SE. Примечание: эта уязвимость относится к развертываниям Java, обычно в клиентах, запускающих изолированные веб-приложения Java Web Start или изолированные апплеты Java, которые загружают и запускают ненадежный код (например, код, поступающий из Интернета) и полагаются на изолированную среду Java для обеспечения безопасности. Эта уязвимость не относится к развертываниям Java, обычно на серверах, которые загружают и запускают только доверенный код (например, код, установленный администратором). Базовая оценка CVSS 3.0 составляет 9.6 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H).
CVE-2017-10087Уязвимость в компоненте Java SE, Java SE Embedded в Oracle Java SE (подкопонент: Libraries). Поддерживаемые версии, подверженные уязвимости: Java SE: 6u151, 7u141 и 8u131; Java SE Embedded: 8u131. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE, Java SE Embedded. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Java SE, Java SE Embedded, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Java SE, Java SE Embedded. Примечание: эта уязвимость относится к развертываниям Java, обычно в клиентах, запускающих изолированные веб-приложения Java Web Start или изолированные апплеты Java, которые загружают и запускают ненадежный код (например, код, поступающий из Интернета) и полагаются на изолированную среду Java для обеспечения безопасности. Эта уязвимость не относится к развертываниям Java, обычно на серверах, которые загружают и запускают только доверенный код (например, код, установленный администратором). Базовая оценка CVSS 3.0 составляет 9.6 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H).
CVE-2017-10086Уязвимость в компоненте Java SE в Oracle Java SE (подкопонент: JavaFX). Поддерживаемые версии, подверженные уязвимости: Java SE: 7u141 и 8u131. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через несколько протоколов скомпрометировать Java SE. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и, хотя уязвимость находится в Java SE, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к захвату Java SE. Примечание: эта уязвимость относится к развертываниям Java, обычно в клиентах, запускающих изолированные веб-приложения Java Web Start или изолированные апплеты Java, которые загружают и запускают ненадежный код (например, код, поступающий из Интернета) и полагаются на изолированную среду Java для обеспечения безопасности. Эта уязвимость не относится к развертываниям Java, обычно на серверах, которые загружают и запускают только доверенный код (например, код, установленный администратором). Базовая оценка CVSS 3.0 составляет 9.6 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H).
CVE-2021-3517В функциональности кодирования XML-сущностей libxml2 в версиях до 2.9.11 была обнаружена уязвимость. Злоумышленник, который может предоставить специально созданный файл для обработки приложением, связанным с затронутой функциональностью libxml2, может вызвать чтение за пределами границ. Наиболее вероятное влияние этой уязвимости - на доступность приложения, с некоторым потенциальным влиянием на конфиденциальность и целостность, если злоумышленник сможет использовать информацию о памяти для дальнейшей эксплуатации приложения.
CVE-2021-39154XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста, просто манипулируя обработанным входным потоком. Ни один пользователь не пострадал, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, поскольку он не может быть защищен для общего использования.
CVE-2021-39153XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком, если используется версия "из коробки" с Java runtime версии от 14 до 8 или с установленным JavaFX. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, так как он не может быть защищен для общего использования.
CVE-2021-39152XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику запрашивать данные из внутренних ресурсов, которые не являются общедоступными, только путем манипулирования обработанным входным потоком с Java runtime версии от 14 до 8. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. Если вы полагаетесь на черный список XStream по умолчанию из [Security Framework](https://x-stream.github.io/security.html#framework), вам необходимо использовать как минимум версию 1.4.18.
CVE-2021-39151XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, так как он не может быть защищен для общего использования.
CVE-2021-39150XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику запрашивать данные из внутренних ресурсов, которые не являются общедоступными, только путем манипулирования обработанным входным потоком с Java runtime версии от 14 до 8. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. Если вы полагаетесь на черный список XStream по умолчанию из [Security Framework](https://x-stream.github.io/security.html#framework), вам необходимо использовать как минимум версию 1.4.18.
CVE-2021-39149XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, так как он не может быть защищен для общего использования.