Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Oracle›Приложениеbdu,nvd,anchore_overrides

Communications Diameter Signaling Router

Уязвимости

138

Эксплуатируемые

2

Макс. CVSS

9.8

Макс. EPSS

0.99999

Распределение по критичности

Критический

25

Высокий

64

Средний

44

Низкий

5

Затронутые диапазоны версий

8.0.0.0–8.4.0.58.0.0.0–8.5.0.28.0.0–8.2.28.0.0–8.5.08.0–8.48.3.0.0–8.5.1.0< 8.3

Также сопоставлено как (исходные строки): communications diameter signaling router,communications_diameter_signaling_router,communications_element_manager,communications_session_report_manager,banking_apis,commerce_guided_search,webcenter_portal,communications_session_route_manager,enterprise_repository,flexcube_private_banking,peoplesoft_enterprise_peopletools,banking_digital_experience

Топ уязвимостей

CVE-2021-21783В функции плагина WS-Addressing Genivia gSOAP 2.8.107 существует уязвимость выполнения кода. Специально созданный SOAP-запрос может привести к удаленному выполнению кода. Злоумышленник может отправить HTTP-запрос для использования этой уязвимости.

CVE-2020-2555Уязвимость в продукте Oracle Coherence из Oracle Fusion Middleware (компонент: Caching,CacheStore,Invocation). Поддерживаемые версии, подверженные уязвимости: 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0 и 12.2.1.4.0. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с доступом к сети через T3 скомпрометировать Oracle Coherence. Успешные атаки этой уязвимости могут привести к захвату Oracle Coherence. Базовая оценка CVSS 3.0 — 9.8 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

CVE-2020-11998В коммит, предотвращающий повторную привязку JMX, была внесена регрессия. Передача пустой карты среды в RMIConnectorServer вместо карты, содержащей учетные данные аутентификации, оставляет ActiveMQ открытым для следующей атаки: https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html "Удаленный клиент может создать javax.management.loading.MLet MBean и использовать его для создания новых MBean из произвольных URL-адресов, по крайней мере, если нет диспетчера безопасности. Другими словами, недобросовестный удаленный клиент может заставить ваше Java-приложение выполнять произвольный код." Меры по смягчению последствий: обновитесь до Apache ActiveMQ 5.15.13.

CVE-2020-11973Apache Camel Netty включает Java-десериализацию по умолчанию. Apache Camel 2.22.x, 2.23.x, 2.24.x, 2.25.0, 3.0.0 вплоть до 3.1.0 подвержены уязвимости. Пользователям версий 2.x следует обновиться до версии 2.25.1, пользователям версий 3.x следует обновиться до версии 3.2.0.

CVE-2020-11972Apache Camel RabbitMQ включает Java-десериализацию по умолчанию. Apache Camel 2.22.x, 2.23.x, 2.24.x, 2.25.0, 3.0.0 вплоть до 3.1.0 подвержены уязвимости. Пользователям версий 2.x следует обновиться до версии 2.25.1, пользователям версий 3.x следует обновиться до версии 3.2.0.

CVE-2019-2904Уязвимость в продукте Oracle JDeveloper and ADF из Oracle Fusion Middleware (компонент: ADF Faces). Поддерживаемые версии, подверженные уязвимости, — 11.1.1.9.0, 12.1.3.0.0 и 12.2.1.3.0. Легко эксплуатируемая уязвимость позволяет неаутентифицированному злоумышленнику, имеющему сетевой доступ через HTTP, скомпрометировать Oracle JDeveloper and ADF. Успешные атаки с использованием этой уязвимости могут привести к захвату Oracle JDeveloper and ADF. CVSS 3.0 Base Score 9.8 (Воздействие на конфиденциальность, целостность и доступность). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

CVE-2019-2729Уязвимость в компоненте Oracle WebLogic Server продукта Oracle Fusion Middleware (подкомпонент: Web Services). Поддерживаемые версии, подверженные уязвимости, — 10.3.6.0.0, 12.1.3.0.0 и 12.2.1.3.0. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с сетевым доступом через HTTP скомпрометировать Oracle WebLogic Server. Успешные атаки с использованием этой уязвимости могут привести к захвату Oracle WebLogic Server. Базовая оценка CVSS 3.0 — 9.8 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

CVE-2019-14379SubTypeValidator.java в FasterXML jackson-databind до версии 2.9.9.2 неправильно обрабатывает типизацию по умолчанию при использовании ehcache (из-за net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), что приводит к удаленному выполнению кода.

CVE-2018-1275Spring Framework, версии 5.0 до 5.0.5 и версии 4.3 до 4.3.16 и более старые неподдерживаемые версии, позволяют приложениям предоставлять STOMP через конечные точки WebSocket с простым брокером STOMP в памяти через модуль spring-messaging. Злоумышленник может создать сообщение для брокера, которое может привести к атаке с удаленным выполнением кода. Это CVE устраняет частичное исправление для CVE-2018-1270 в ветке 4.3.x Spring Framework.

CVE-2018-1270Spring Framework, версии 5.0 до 5.0.5 и версии 4.3 до 4.3.15 и более старые неподдерживаемые версии, позволяют приложениям предоставлять STOMP через конечные точки WebSocket с простым брокером STOMP в памяти через модуль spring-messaging. Злоумышленник может создать сообщение для брокера, которое может привести к атаке с удаленным выполнением кода.

CVE-2017-9841Util/PHP/eval-stdin.php в PHPUnit до 4.8.28 и 5.x до 5.6.3 позволяет удалённым злоумышленникам выполнять произвольный PHP код через HTTP POST данные, начинающиеся с подстроки "<?php ", что демонстрируется атакой на сайт с открытой папкой /vendor, т.е. внешний доступ к /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php URI.

BDU:2021-06055Уязвимость плагина WS-Addressing среды разработки программного обеспечения gSOAP связана с целочисленным переполнением при обработке SOAP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально созданных HTTP-запросов

BDU:2021-01051Уязвимость библиотеки журналирования Java-программ Log4j связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

BDU:2020-05189Уязвимость java-фреймворка Apache Camel связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, выполнить произвольный код или вызвать отказ в обслуживании

BDU:2020-04468Уязвимость компонента spring-aop библиотеки Jackson-databind проекта FasterXML связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе

BDU:2020-04038Уязвимость реализации функции new org.dom4j.io.SAXReader() библиотеки для работы с XML, XPath и XSLT dom4j связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

BDU:2020-03618Уязвимость компонента org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

BDU:2020-03617Уязвимость компонента com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

BDU:2020-03616Уязвимость компонента br.com.anteros.dbcp.AnterosDBCPConfig Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

BDU:2020-00538Уязвимость компонента Caching,CacheStore,Invocation программной платформы для обработки данных Oracle Coherence связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный контроль над приложением с помощью сетевого T3 протокола

BDU:2019-04006Уязвимость подкомпонента ADF Faces компонента Oracle JDeveloper and ADF программной платформы Oracle Fusion Middleware связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный контроль над приложением с помощью сетевого HTTP протокола

BDU:2019-02936Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды путем отмены обработки объекта XML или другого поддерживаемого формата

BDU:2019-02355Уязвимость компонента XMLDecoder сервера приложений Oracle WebLogic Server связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

BDU:2020-01446Уязвимость функции fgetss() языка сценариев общего назначения с открытым исходным кодом PHP связана с ошибкой чтения данных со стирающимися тегами. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

BDU:2020-01391Уязвимость функции mbstring() интерпретатора языка программирования PHP связана с чтением буфера за границами памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Перейти к вендору →Открыть в каталоге с фильтром по продукту →