Application Testing Suite
Уязвимости
95
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.99019
Распределение по критичности
Критический
11
Высокий
39
Средний
41
Низкий
4
Также сопоставлено как (исходные строки): communications_eagle_application_processor,communications_analytics,primavera_gateway,application testing suite,jd_edwards_enterpriseone_tools,communications_interactive_session_recorder,financial_services_regulatory_reporting_for_de_nederlandsche_bank,jd_edwards_enterpriseone_orchestrator,banking_platform,blockchain_platform,communications_session_report_manager,storagetek_tape_analytics_sw_tool
Топ уязвимостей
CVE-2019-2904Уязвимость в продукте Oracle JDeveloper and ADF из Oracle Fusion Middleware (компонент: ADF Faces). Поддерживаемые версии, подверженные уязвимости, — 11.1.1.9.0, 12.1.3.0.0 и 12.2.1.3.0. Легко эксплуатируемая уязвимость позволяет неаутентифицированному злоумышленнику, имеющему сетевой доступ через HTTP, скомпрометировать Oracle JDeveloper and ADF. Успешные атаки с использованием этой уязвимости могут привести к захвату Oracle JDeveloper and ADF. CVSS 3.0 Base Score 9.8 (Воздействие на конфиденциальность, целостность и доступность). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
CVE-2019-17571В Log4j 1.2 включен класс SocketServer, который уязвим для десериализации ненадежных данных, что можно использовать для удаленного выполнения произвольного кода в сочетании с гаджетом десериализации при прослушивании ненадежного сетевого трафика для данных журнала. Это затрагивает версии Log4j до 1.2 до 1.2.17.
CVE-2018-1285Apache log4net версии до 2.0.10 не отключает XML external entities при анализе файлов конфигурации log4net. Это позволяет проводить атаки на основе XXE в приложениях, которые принимают управляемые злоумышленником файлы конфигурации log4net.
CVE-2018-1275Spring Framework, версии 5.0 до 5.0.5 и версии 4.3 до 4.3.16 и более старые неподдерживаемые версии, позволяют приложениям предоставлять STOMP через конечные точки WebSocket с простым брокером STOMP в памяти через модуль spring-messaging. Злоумышленник может создать сообщение для брокера, которое может привести к атаке с удаленным выполнением кода. Это CVE устраняет частичное исправление для CVE-2018-1270 в ветке 4.3.x Spring Framework.
CVE-2018-1270Spring Framework, версии 5.0 до 5.0.5 и версии 4.3 до 4.3.15 и более старые неподдерживаемые версии, позволяют приложениям предоставлять STOMP через конечные точки WebSocket с простым брокером STOMP в памяти через модуль spring-messaging. Злоумышленник может создать сообщение для брокера, которое может привести к атаке с удаленным выполнением кода.
CVE-2018-11058RSA BSAFE Micro Edition Suite, версии до 4.0.11 (в 4.0.x) и до 4.1.6 (в 4.1.x), и RSA BSAFE Crypto-C Micro Edition, версия до 4.0.5.3 (в 4.0.x), содержат уязвимость Buffer Over-Read при разборе данных ASN.1. Удаленный злоумышленник может использовать злонамеренно сконструированные данные ASN.1, которые приведут к такой проблеме.
BDU:2021-01051Уязвимость библиотеки журналирования Java-программ Log4j связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2020-04038Уязвимость реализации функции new org.dom4j.io.SAXReader() библиотеки для работы с XML, XPath и XSLT dom4j связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
BDU:2019-04006Уязвимость подкомпонента ADF Faces компонента Oracle JDeveloper and ADF программной платформы Oracle Fusion Middleware связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный контроль над приложением с помощью сетевого HTTP протокола
BDU:2018-00935Уязвимость модуля spring-messaging программной платформы Spring Framework вызвана ошибками обработки сообщений STOMP. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный контроль над приложением с помощью специально сформированного сообщения
BDU:2020-05188Уязвимость контейнера сервлетов Eclipse Jetty связана с дублированием операций на ресурсе. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, выполнить произвольный код или вызвать отказ в обслуживании
CVE-2019-5064В функциональности сохранения структуры данных OpenCV до версии 4.2.0 существует эксплуатируемая уязвимость переполнения буфера кучи. Специально созданный JSON-файл может вызвать переполнение буфера, что приведет к множественным повреждениям кучи и потенциальному выполнению кода. Злоумышленник может предоставить специально созданный файл, чтобы вызвать эту уязвимость.
CVE-2019-5063В функциональности сохранения структуры данных OpenCV 4.1.0 существует эксплуатируемая уязвимость переполнения буфера кучи. Специально созданный XML-файл может вызвать переполнение буфера, что приведет к множественным повреждениям кучи и потенциальному выполнению кода. Злоумышленник может предоставить специально созданный файл, чтобы вызвать эту уязвимость.
BDU:2021-02785Уязвимость функции сохранения структуры данных библиотеки алгоритмов компьютерного зрения, обработки изображений и численных алгоритмов общего назначения Open Source Computer Vision Library (OpenCV) связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного JSON файла
BDU:2019-01760Уязвимость компонента Spring Framework программных продуктов Oracle связана с неправильной авторизацией. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
CVE-2020-36189FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource.
CVE-2020-36188FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource.
CVE-2020-36187FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource.
CVE-2020-36186FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource.
CVE-2020-36185FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource.
CVE-2020-36184FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource.
CVE-2020-36183FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool.
CVE-2020-36182FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS.
CVE-2020-36181FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS.
CVE-2020-36180FasterXML jackson-databind 2.x до 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS.