Communications Interactive Session Recorder
Уязвимости
22
Эксплуатируемые
2
Макс. CVSS
8.8
Макс. EPSS
0.99999
Распределение по критичности
Критический
0
Высокий
10
Средний
12
Низкий
0
Затронутые диапазоны версий
6.0–6.26.0–6.46.1–6.4
Также сопоставлено как (исходные строки): communications_eagle_application_processor,communications_analytics,communications interactive session recorder,jd_edwards_enterpriseone_orchestrator,blockchain_platform,jd_edwards_enterpriseone_tools,communications_session_report_manager,storagetek_tape_analytics_sw_tool,financial_services_regulatory_reporting_for_de_nederlandsche_bank,primavera_gateway,banking_platform,communications_interactive_session_recorder
Топ уязвимостей
CVE-2021-22112Spring Security 5.4.x до 5.4.4, 5.3.x до 5.3.8.RELEASE, 5.2.x до 5.2.9.RELEASE и более старые неподдерживаемые версии могут не сохранять SecurityContext, если он изменяется более одного раза в одном запросе. Злоумышленник не может вызвать эту ошибку (она должна быть запрограммирована). Однако, если приложение предназначено для того, чтобы разрешить пользователю работать с повышенными привилегиями только в небольшой части приложения, эту ошибку можно использовать для распространения этих привилегий на остальную часть приложения.
CVE-2021-2461Уязвимость в продукте Oracle Communications Interactive Session Recorder компании Oracle Communications (компонент: Provision API). Поддерживаемая версия 6.4 подвержена уязвимости. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с доступом к сети через HTTP скомпрометировать Oracle Communications Interactive Session Recorder. Хотя уязвимость находится в Oracle Communications Interactive Session Recorder, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки этой уязвимости могут привести к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным Oracle Communications Interactive Session Recorder, а также к несанкционированному доступу на чтение к подмножеству доступных данных Oracle Communications Interactive Session Recorder и несанкционированной возможности вызвать частичный отказ в обслуживании (частичный DOS) Oracle Communications Interactive Session Recorder. Базовая оценка CVSS 3.1 составляет 8,3 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L).
CVE-2020-36189FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource.
CVE-2020-35490FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.commons.dbcp2.datasources.PerUserPoolDataSource.
CVE-2017-5645В Apache Log4j 2.x до 2.8.2, при использовании TCP-сокета или UDP-сокета для получения сериализованных событий журнала из другого приложения, можно отправить специально созданную двоичную полезную нагрузку, которая при десериализации может выполнить произвольный код.
CVE-2016-8735Удаленное выполнение кода возможно в Apache Tomcat до версий 6.0.48, 7.x до 7.0.73, 8.x до 8.0.39, 8.5.x до 8.5.7 и 9.x до 9.0.0.M12, если используется JmxRemoteLifecycleListener и злоумышленник может получить доступ к портам JMX. Проблема существует из-за того, что этот прослушиватель не был обновлен для обеспечения согласованности с патчем Oracle CVE-2016-3427, который повлиял на типы учетных данных.
BDU:2022-03804Уязвимость компонента org.apache.commons.dbcp2.datasources.PerUserPoolDataSource библиотеки Jackson-databind проекта FasterXML связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных данных
CVE-2020-25649Обнаружена уязвимость в FasterXML Jackson Databind, где не была обеспечена надлежащая защита от расширения сущностей. Эта уязвимость позволяет проводить атаки XML External Entity (XXE). Наибольшая угроза от этой уязвимости заключается в целостности данных.
BDU:2022-05602Уязвимость компонента DOMDeserializer библиотеки FasterXML jackson-databind связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки
CVE-2021-22118В Spring Framework, версии 5.2.x до 5.2.15 и версии 5.3.x до 5.3.7, приложение WebFlux уязвимо для повышения привилегий: (повторно) создав каталог временного хранилища, локально аутентифицированный злоумышленник может читать или изменять файлы, которые были загружены в приложение WebFlux, или перезаписывать произвольные файлы данными многокомпонентного запроса.
CVE-2021-44832Apache Log4j2 версий 2.0-beta7 - 2.17.0 (исключая выпуски исправлений безопасности 2.3.2 и 2.12.4) уязвим для атак удаленного выполнения кода (RCE), когда конфигурация использует JDBC Appender с URI источника данных JNDI LDAP, когда злоумышленник контролирует целевой LDAP-сервер. Эта проблема устранена путем ограничения имен источников данных JNDI протоколом java в Log4j2 версий 2.17.1, 2.12.4 и 2.3.2.
CVE-2021-41184jQuery-UI является официальной библиотекой пользовательского интерфейса jQuery. До версии 1.13.0 принятие значения параметра `of` утилиты `.position()` из ненадежных источников может выполнять ненадежный код. Эта проблема исправлена в jQuery UI 1.13.0. Любая строка, переданная параметру `of`, теперь обрабатывается как CSS-селектор. Обходной путь — не принимать значение параметра `of` из ненадежных источников.
CVE-2021-41183jQuery-UI является официальной библиотекой пользовательского интерфейса jQuery. До версии 1.13.0 принятие значений различных параметров `*Text` виджета Datepicker из ненадежных источников может выполнять ненадежный код. Эта проблема исправлена в jQuery UI 1.13.0. Значения, переданные различным параметрам `*Text`, теперь всегда обрабатываются как чистый текст, а не HTML. Обходной путь — не принимать значение параметров `*Text` из ненадежных источников.
CVE-2021-41182jQuery-UI — это официальная библиотека пользовательского интерфейса jQuery. До версии 1.13.0 принятие значения параметра `altField` виджета Datepicker из ненадежных источников может выполнять ненадежный код. Эта проблема исправлена в jQuery UI 1.13.0. Любая строка, переданная параметру `altField`, теперь обрабатывается как CSS-селектор. Обходной путь — не принимать значение параметра `altField` из ненадежных источников.
CVE-2019-10219Обнаружена уязвимость в Hibernate-Validator. Аннотация валидатора SafeHtml не выполняет должную очистку полезных нагрузок, состоящих из потенциально вредоносного кода в HTML-комментариях и инструкциях. Эта уязвимость может привести к XSS-атаке.
CVE-2020-11023В версиях jQuery, равных или превышающих 1.0.3 и до 3.5.0, передача HTML, содержащего элементы <option> из ненадежных источников - даже после очистки - в один из методов манипуляции DOM jQuery (т.е. .html(), .append() и другие) может выполнить ненадежный код. Эта проблема исправлена в jQuery 3.5.0.
CVE-2015-9251jQuery до версии 3.0.0 уязвим для атак межсайтового скриптинга (XSS), когда выполняется междоменный Ajax-запрос без параметра dataType, что приводит к выполнению ответов text/javascript.
BDU:2023-07675Уязвимость библиотеки jQuery связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить межсайтовый скриптинг с помощью междоменных ajax-запросов
CVE-2021-45105Версии Apache Log4j2 с 2.0-alpha1 по 2.16.0 (исключая 2.12.3 и 2.3.1) не защищали от неконтролируемой рекурсии из самоссылающихся просмотров. Это позволяет злоумышленнику, контролирующему данные Thread Context Map, вызвать отказ в обслуживании при интерпретации специально созданной строки. Эта проблема была исправлена в Log4j 2.17.0, 2.12.3 и 2.3.1.
CVE-2019-11358jQuery до версии 3.4.0, используемый в Drupal, Backdrop CMS и других продуктах, неправильно обрабатывает jQuery.extend(true, {}, ...), поскольку Object.prototype загрязнен. Если несанированный исходный объект содержал перечисляемое свойство __proto__, он мог расширить собственный Object.prototype.
CVE-2021-29425В Apache Commons IO до версии 2.7 при вызове метода FileNameUtils.normalize с неправильной входной строкой, такой как "//../foo" или "\\..\foo", результатом будет то же значение, что может предоставить доступ к файлам в родительском каталоге, но не выше (таким образом, "ограниченный" обход пути), если вызывающий код будет использовать результат для построения значения пути.
CVE-2020-14574Уязвимость в продукте Oracle Communications Interactive Session Recorder от Oracle Communications Applications (компонент: FACE). Поддерживаемые версии, подверженные уязвимости: 6.1-6.4. Сложная для эксплуатации уязвимость позволяет злоумышленнику с высокими привилегиями, имеющему учетные данные для входа в инфраструктуру, где выполняется Oracle Communications Interactive Session Recorder, скомпрометировать Oracle Communications Interactive Session Recorder. Успешные атаки этой уязвимости могут привести к несанкционированному доступу к критически важным данным или к полному доступу ко всем доступным данным Oracle Communications Interactive Session Recorder, а также к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным Oracle Communications Interactive Session Recorder. Базовая оценка CVSS 3.1 составляет 4.7 (воздействие на конфиденциальность и целостность). Вектор CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:L/A:N).