Insurance Policy Administration
Уязвимости
34
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.8904
Распределение по критичности
Критический
1
Высокий
25
Средний
8
Низкий
0
Затронутые диапазоны версий
11.0–11.3.111.1.0–11.3.0
Также сопоставлено как (исходные строки): data_integrator,healthcare_data_repository,jd_edwards_enterpriseone_orchestrator,policy_automation,communications_pricing_design_center,primavera_gateway,solaris_cluster,enterprise_manager_base_platform,jd_edwards_enterpriseone_tools,peoplesoft_enterprise_peopletools,insurance_policy_administration,communications_cloud_native_core_security_edge_protection_proxy
Топ уязвимостей
BDU:2018-00935Уязвимость модуля spring-messaging программной платформы Spring Framework вызвана ошибками обработки сообщений STOMP. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный контроль над приложением с помощью специально сформированного сообщения
CVE-2021-35043OWASP AntiSamy версий до 1.6.4 допускает XSS через HTML-атрибуты при использовании сериализатора вывода HTML (XHTML не затрагивается). Это было продемонстрировано с помощью javascript: URL с : в качестве замены символа :.
CVE-2021-22112Spring Security 5.4.x до 5.4.4, 5.3.x до 5.3.8.RELEASE, 5.2.x до 5.2.9.RELEASE и более старые неподдерживаемые версии могут не сохранять SecurityContext, если он изменяется более одного раза в одном запросе. Злоумышленник не может вызвать эту ошибку (она должна быть запрограммирована). Однако, если приложение предназначено для того, чтобы разрешить пользователю работать с повышенными привилегиями только в небольшой части приложения, эту ошибку можно использовать для распространения этих привилегий на остальную часть приложения.
BDU:2019-01760Уязвимость компонента Spring Framework программных продуктов Oracle связана с неправильной авторизацией. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
CVE-2020-11987Apache Batik 1.13 уязвим для межсерверной подделки запросов, вызванной неправильной проверкой ввода NodePickerPanel. Используя специально созданный аргумент, злоумышленник может использовать эту уязвимость, чтобы заставить базовый сервер делать произвольные GET-запросы.
CVE-2020-36189FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource.
CVE-2020-36188FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource.
CVE-2020-36187FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource.
CVE-2020-36186FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource.
CVE-2020-36185FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource.
CVE-2020-36184FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource.
CVE-2020-36183FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool.
CVE-2020-36182FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS.
CVE-2020-36181FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS.
CVE-2020-36180FasterXML jackson-databind 2.x до 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS.
CVE-2020-36179FasterXML jackson-databind 2.x до 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанными с oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS.
CVE-2020-35728FasterXML jackson-databind 2.x до версии 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанное с com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (также известной как встроенная Xalan в org.glassfish.web/javax.servlet.jsp.jstl).
CVE-2017-5645В Apache Log4j 2.x до 2.8.2, при использовании TCP-сокета или UDP-сокета для получения сериализованных событий журнала из другого приложения, можно отправить специально созданную двоичную полезную нагрузку, которая при десериализации может выполнить произвольный код.
CVE-2021-36090При чтении специально созданного ZIP-архива можно заставить Compress выделить большие объемы памяти, что в конечном итоге приводит к ошибке нехватки памяти даже для очень маленьких входных данных. Это можно использовать для организации DoS-атаки на службы, использующие zip-пакет Compress.
CVE-2021-35517При чтении специально созданного архива TAR можно заставить Compress выделить большой объем памяти, что в конечном итоге приводит к ошибке нехватки памяти даже для очень маленьких входных данных. Это можно использовать для организации атаки типа "отказ в обслуживании" на сервисы, использующие пакет tar Compress.
CVE-2021-35516При чтении специально созданного архива 7Z можно заставить Compress выделить большой объем памяти, что в конечном итоге приводит к ошибке нехватки памяти даже для очень маленьких входных данных. Это можно использовать для организации атаки типа "отказ в обслуживании" на сервисы, использующие пакет sevenz Compress.
CVE-2021-35515При чтении специально созданного архива 7Z создание списка кодеков, которые распаковывают запись, может привести к бесконечному циклу. Это можно использовать для организации атаки типа "отказ в обслуживании" на сервисы, использующие пакет sevenz Compress.
CVE-2021-2351Уязвимость в компоненте Advanced Networking Option сервера Oracle Database. Поддерживаемые версии, подверженные уязвимости: 12.1.0.2, 12.2.0.1 и 19c. Трудно эксплуатируемая уязвимость позволяет не аутентифицированному злоумышленнику с сетевым доступом через Oracle Net скомпрометировать Advanced Networking Option. Для успешных атак требуется взаимодействие с человеком, отличным от злоумышленника, и хотя уязвимость находится в Advanced Networking Option, атаки могут значительно повлиять на дополнительные продукты. Успешные атаки с использованием этой уязвимости могут привести к захвату Advanced Networking Option. Примечание: июльское обновление Critical Patch Update 2021 года вносит ряд изменений в Native Network Encryption для устранения уязвимости CVE-2021-2351 и предотвращения использования более слабых шифров. Клиентам следует ознакомиться с документом "Changes in Native Network Encryption with the July 2021 Critical Patch Update" (Doc ID 2791571.1). Базовая оценка CVSS 3.1 составляет 8.3 (воздействие на конфиденциальность, целостность и доступность). Вектор CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H).
CVE-2020-25649Обнаружена уязвимость в FasterXML Jackson Databind, где не была обеспечена надлежащая защита от расширения сущностей. Эта уязвимость позволяет проводить атаки XML External Entity (XXE). Наибольшая угроза от этой уязвимости заключается в целостности данных.
BDU:2022-05602Уязвимость компонента DOMDeserializer библиотеки FasterXML jackson-databind связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки