Banking Extensibility Workbench
Уязвимости
20
Эксплуатируемые
0
Макс. CVSS
9.1
Макс. EPSS
0.2241
Распределение по критичности
Критический
1
Высокий
18
Средний
1
Низкий
0
Также сопоставлено как (исходные строки): communications_services_gatekeeper,communications_session_route_manager,jd_edwards_enterpriseone_tools,banking_corporate_lending_process_management,banking_credit_facilities_process_management,banking_extensibility_workbench,primavera_unifier,communications_pricing_design_center,communications_instant_messaging_server,application_testing_suite,commerce_platform,communications_offline_mediation_controller
Топ уязвимостей
CVE-2019-10744Версии lodash ниже 4.17.12 уязвимы для Prototype Pollution. Функцию defaultsDeep можно обманом заставить добавлять или изменять свойства Object.prototype с помощью полезной нагрузки конструктора.
CVE-2020-15824В JetBrains Kotlin с 1.4-M1 по 1.4-RC (поскольку Kotlin 1.3.7x не подвержен этой проблеме. Исправленная версия — 1.4.0) существует уязвимость повышения привилегий script-cache из-за кэшированных скриптов kotlin-main-kts во временном каталоге системы, который по умолчанию является общим для всех пользователей.
CVE-2020-10531Проблема обнаружена в International Components for Unicode (ICU) для C/C++ до версии 66.1. Переполнение целого числа, приводящее к переполнению буфера на основе кучи, существует в функции UnicodeString::doAppend() в common/unistr.cpp.
CVE-2020-8174napi_get_value_string_*() допускает различные виды повреждения памяти в node < 10.21.0, 12.18.0 и < 14.4.0.
CVE-2020-36188FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource.
CVE-2020-36187FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource.
CVE-2020-36186FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource.
CVE-2020-36185FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource.
CVE-2020-36184FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource.
CVE-2020-36183FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool.
CVE-2020-36182FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS.
CVE-2020-36181FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS.
CVE-2020-36180FasterXML jackson-databind 2.x до 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS.
CVE-2020-35728FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанное с com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (также известной как встроенная Xalan в org.glassfish.web/javax.servlet.jsp.jstl).
CVE-2020-28052В Legion of the Bouncy Castle BC Java 1.65 и 1.66 обнаружена проблема. Утилита OpenBSDBCrypt.checkPassword сравнивала неверные данные при проверке пароля, позволяя неверным паролям указывать на то, что они совпадают с ранее хешированными паролями, которые были другими.
CVE-2020-11080В nghttp2 версий до 1.41.0 чрезмерно большой полезной нагрузкой кадра HTTP/2 SETTINGS вызывает отказ в обслуживании. Атака proof of concept включает в себя вредоносного клиента, создающего кадр SETTINGS длиной 14 400 байт (2400 отдельных записей настроек) снова и снова. Атака приводит к тому, что ЦП достигает 100%. nghttp2 v1.41.0 исправляет эту уязвимость. Существует обходной путь для этой уязвимости. Реализуйте обратный вызов nghttp2_on_frame_recv_callback, и если полученный кадр является кадром SETTINGS и количество записей настроек велико (например, > 32), то разорвите соединение.
CVE-2020-8203Атака с загрязнением прототипа при использовании _.zipObjectDeep в lodash до 4.17.20.
CVE-2020-8172Повторное использование сеанса TLS может привести к обходу проверки сертификата хоста в node версии < 12.18.0 и < 14.4.0.
CVE-2021-23337Версии Lodash до 4.17.21 уязвимы для Command Injection через функцию template.
CVE-2020-28500Версии Lodash до 4.17.21 уязвимы для Regular Expression Denial of Service (ReDoS) через функции toNumber, trim и trimEnd.