Storage Automation Store
Уязвимости
125
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.91789
Распределение по критичности
Критический
2
Высокий
15
Средний
96
Низкий
12
Также сопоставлено как (исходные строки): oncommand_workflow_automation,storage_automation_store,clustered_data_ontap,santricity_cloud_connector,storagegrid,element_software,storage automation store,oncommand_unified_manager,snapcenter,oncommand_insight,oncommand_api_services,service_level_manager
Топ уязвимостей
CVE-2019-0192В Apache Solr версий 5.0.0 - 5.5.5 и 6.0.0 - 6.6.5 Config API позволяет настраивать JMX-сервер через HTTP POST-запрос. Указав на вредоносный RMI-сервер, злоумышленник может воспользоваться небезопасной десериализацией Solr, чтобы вызвать удаленное выполнение кода на стороне Solr.
CVE-2018-10933В автомате состояний на стороне сервера libssh до версий 0.7.6 и 0.8.4 обнаружена уязвимость. Злонамеренный клиент может создавать каналы без предварительной аутентификации, что приводит к несанкционированному доступу.
BDU:2019-04236Уязвимость функции exif_read_data (ext/exif/exif.c) интерпретатора языка программирования PHP связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании
CVE-2017-5645В Apache Log4j 2.x до 2.8.2, при использовании TCP-сокета или UDP-сокета для получения сериализованных событий журнала из другого приложения, можно отправить специально созданную двоичную полезную нагрузку, которая при десериализации может выполнить произвольный код.
CVE-2018-3155Уязвимость в компоненте MySQL Server СУБД Oracle MySQL (подкомпонент: Server: Parser). Поддерживаемые версии: 5.7.23 и более ранние, а также 8.0.12 и более ранние. Легко эксплуатируемая уязвимость позволяет злоумышленнику с низкими привилегиями, имеющему сетевой доступ через несколько протоколов, скомпрометировать MySQL Server. Хотя уязвимость находится в MySQL Server, атаки могут существенно повлиять на дополнительные продукты. Успешные атаки с использованием этой уязвимости могут привести к несанкционированной возможности вызвать зависание или часто повторяющийся сбой (полный отказ в обслуживании) MySQL Server. Базовая оценка CVSS 3.0 — 7.7 (воздействие на доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H).
CVE-2019-9637В PHP до версий 7.1.27, 7.2.x до 7.2.16 и 7.3.x до 7.3.3 обнаружена проблема. Из-за способа реализации rename() в разных файловых системах возможно, что файл, который переименовывается, будет кратковременно доступен с неправильными разрешениями во время переименования, что позволит неавторизованным пользователям получить доступ к данным.
CVE-2018-15132Обнаружена проблема в ext/standard/link_win32.c в PHP до 5.6.37, 7.0.x до 7.0.31, 7.1.x до 7.1.20 и 7.2.x до 7.2.8. Функция linkinfo в Windows не реализует проверку open_basedir. Это можно использовать для поиска файлов по путям за пределами разрешенных каталогов.
CVE-2018-14884В PHP 7.0.x до версии 7.0.27, 7.1.x до версии 7.1.13 и 7.2.x до версии 7.2.1 обнаружена проблема. Неправильный разбор HTTP-ответа приводит к ошибке сегментации, поскольку http_header_value в ext/standard/http_fopen_wrapper.c может быть нулевым значением, которое неправильно обрабатывается в вызове atoi.
CVE-2018-11763В Apache HTTP Server 2.4.17 - 2.4.34, отправляя непрерывные большие кадры SETTINGS, клиент может занимать соединение, поток сервера и время ЦП без какого-либо тайм-аута соединения. Это затрагивает только HTTP/2-соединения. Возможным смягчением является отключение протокола h2.
CVE-2018-10546Обнаружена проблема в PHP до версий 5.6.36, 7.0.x до 7.0.30, 7.1.x до 7.1.17 и 7.2.x до 7.2.5. Существует бесконечный цикл в ext/iconv/iconv.c, поскольку фильтр потока iconv не отклоняет недопустимые многобайтовые последовательности.
BDU:2019-04234Уязвимость потокового фильтра iconv (ext/iconv/iconv.c) интерпретатора языка программирования PHP связана с входом в бесконечный цикл. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
CVE-2019-9025Обнаружена проблема в PHP 7.3.x до 7.3.1. Недопустимая многобайтовая строка, предоставленная в качестве аргумента функции mb_split() в ext/mbstring/php_mbregex.c, может привести к тому, что PHP выполнит memcpy() с отрицательным аргументом, что может привести к чтению и записи за пределами буферов, выделенных для данных.
CVE-2019-9020Обнаружена проблема в PHP до 5.6.40, 7.x до 7.1.26, 7.2.x до 7.2.14 и 7.3.x до 7.3.1. Недопустимый ввод в функцию xmlrpc_decode() может привести к недопустимому доступу к памяти (чтение кучи за пределами или чтение после освобождения). Это связано с xml_elem_parse_buf в ext/xmlrpc/libxmlrpc/xml_element.c.
BDU:2019-04106Уязвимость компонента <FilesMatch> веб-сервера Apache HTTP Server существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
CVE-2019-2534Уязвимость в компоненте MySQL Server из Oracle MySQL (подкомпонент: Server: Replication). Поддерживаемые версии, подверженные уязвимости, — 5.6.42 и более ранние, 5.7.24 и более ранние, а также 8.0.13 и более ранние. Легко эксплуатируемая уязвимость позволяет злоумышленнику с низкими привилегиями с сетевым доступом через несколько протоколов скомпрометировать MySQL Server. Успешные атаки с использованием этой уязвимости могут привести к несанкционированному доступу к критически важным данным или полному доступу ко всем доступным данным MySQL Server, а также к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным MySQL Server. Базовая оценка CVSS 3.0 — 7,1 (воздействие на конфиденциальность и целостность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N).
CVE-2018-3064Уязвимость в компоненте MySQL Server Oracle MySQL (подкомпонент: InnoDB). Уязвимые поддерживаемые версии: 5.6.40 и более ранние, 5.7.22 и более ранние, а также 8.0.11 и более ранние. Легко эксплуатируемая уязвимость позволяет злоумышленнику с низким уровнем привилегий, имеющему сетевой доступ через несколько протоколов, скомпрометировать MySQL Server. Успешные атаки этой уязвимости могут привести к несанкционированной возможности вызвать зависание или часто повторяющийся сбой (полный отказ в обслуживании) MySQL Server, а также к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным MySQL Server. CVSS 3.0 Base Score 7.1 (последствия для целостности и доступности). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H).
CVE-2018-3070Уязвимость в компоненте MySQL Server Oracle MySQL (подкомпонент: Client mysqldump). Уязвимые поддерживаемые версии: 5.5.60 и более ранние, 5.6.40 и более ранние, а также 5.7.22 и более ранние. Легко эксплуатируемая уязвимость позволяет злоумышленнику с низким уровнем привилегий, имеющему сетевой доступ через несколько протоколов, скомпрометировать MySQL Server. Успешные атаки этой уязвимости могут привести к несанкционированной возможности вызвать зависание или часто повторяющийся сбой (полный отказ в обслуживании) MySQL Server. CVSS 3.0 Base Score 6.5 (последствия для доступности). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
CVE-2019-9024Обнаружена проблема в PHP до 5.6.40, 7.x до 7.1.26, 7.2.x до 7.2.14 и 7.3.x до 7.3.1. xmlrpc_decode() может позволить враждебному XMLRPC-серверу заставить PHP читать память за пределами выделенных областей в base64_decode_xmlrpc в ext/xmlrpc/libxmlrpc/base64.c.
CVE-2019-2533Уязвимость в компоненте MySQL Server из Oracle MySQL (подкомпонент: Server : Security : Privileges). Поддерживаемые версии, подверженные уязвимости, — 8.0.13 и более ранние. Легко эксплуатируемая уязвимость позволяет злоумышленнику с низкими привилегиями с сетевым доступом через несколько протоколов скомпрометировать MySQL Server. Успешные атаки с использованием этой уязвимости могут привести к несанкционированному созданию, удалению или изменению доступа к критически важным данным или ко всем доступным данным MySQL Server. Базовая оценка CVSS 3.0 — 6,5 (воздействие на целостность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N).
CVE-2019-2529Уязвимость в компоненте MySQL Server из Oracle MySQL (подкомпонент: Server: Optimizer). Поддерживаемые версии, подверженные уязвимости, — 5.6.42 и более ранние, 5.7.24 и более ранние, а также 8.0.13 и более ранние. Легко эксплуатируемая уязвимость позволяет злоумышленнику с низкими привилегиями с сетевым доступом через несколько протоколов скомпрометировать MySQL Server. Успешные атаки с использованием этой уязвимости могут привести к несанкционированной возможности вызвать зависание или часто повторяющийся сбой (полный отказ в обслуживании) MySQL Server. Базовая оценка CVSS 3.0 — 6,5 (воздействие на доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
CVE-2019-2434Уязвимость в компоненте MySQL Server продукта Oracle MySQL (подкомпонент: Server: Parser). Поддерживаемые версии, подверженные уязвимости, — 5.7.24 и более ранние, а также 8.0.13 и более ранние. Легко эксплуатируемая уязвимость позволяет злоумышленнику с низкими привилегиями, имеющему сетевой доступ через несколько протоколов, скомпрометировать MySQL Server. Успешная эксплуатация этой уязвимости может привести к несанкционированной возможности вызвать зависание или часто повторяющийся сбой (полный отказ в обслуживании) MySQL Server. Базовая оценка CVSS 3.0 составляет 6.5 (воздействие на доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
CVE-2019-11035При обработке определенных файлов расширение PHP EXIF в версиях 7.1.x ниже 7.1.28, 7.2.x ниже 7.2.17 и 7.3.x ниже 7.3.4 может быть вызвано для чтения за пределами выделенного буфера в функции exif_iif_add_value. Это может привести к раскрытию информации или сбою.
CVE-2019-11034При обработке определенных файлов расширение PHP EXIF в версиях 7.1.x ниже 7.1.28, 7.2.x ниже 7.2.17 и 7.3.x ниже 7.3.4 может быть вызвано для чтения за пределами выделенного буфера в функции exif_process_IFD_TAG. Это может привести к раскрытию информации или сбою.
CVE-2018-8026Эта уязвимость в Apache Solr с 6.0.0 по 6.6.4 и с 7.0.0 по 7.3.1 связана с расширением XML внешних сущностей (XXE) в файлах конфигурации Solr (currency.xml, enumsConfig.xml, на которые ссылается schema.xml, файл конфигурации TIKA parsecontext). Кроме того, аналогичным образом затрагивается функция Xinclude, предоставляемая в этих файлах конфигурации. Уязвимость можно использовать как XXE с использованием протоколов file/ftp/http для чтения произвольных локальных файлов с сервера Solr или из внутренней сети. Подделанные файлы можно загружать как наборы конфигурации с использованием API Solr, что позволяет использовать эту уязвимость.
CVE-2018-3251Уязвимость в компоненте MySQL Server в Oracle MySQL (подкомпонент: InnoDB). Поддерживаемые версии, подверженные уязвимости: 5.6.41 и более ранние, 5.7.23 и более ранние, а также 8.0.12 и более ранние. Легко эксплуатируемая уязвимость позволяет злоумышленнику с низким уровнем привилегий, имеющему сетевой доступ через несколько протоколов, скомпрометировать MySQL Server. Успешные атаки с использованием этой уязвимости могут привести к несанкционированной возможности вызвать зависание или часто повторяющийся сбой (полный отказ в обслуживании) MySQL Server. Базовая оценка CVSS 3.0: 6.5 (воздействие на доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).