Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Red Hat›Приложениеbdu,nvd,anchore_overrides

Openshift Container Platform

Уязвимости

500

Эксплуатируемые

8

Макс. CVSS

10

Макс. EPSS

0.99999

Распределение по критичности

Критический

56

Высокий

224

Средний

195

Низкий

25

Затронутые диапазоны версий

3.0–3.113.0–3.7.613.4–3.73.6–4.13.9–3.9.994.12–4.13.414.18–4.18.44.1–4.1.184.4–4.4.34.4–4.4.334.5–4.5.33< 3.10< 3.7.53< 3.9.31< 4.1.3< 4.14.22≤ 3.7≤ 4.1≤ 4.7

Также сопоставлено как (исходные строки): openshift_container_platform,enterprise_linux,openstack_platform,virtualization,enterprise_linux_fast_datapath,openshift_assisted_installer,jboss_enterprise_application_platform,ceph_storage,discovery,migration_toolkit,libcap,openshift container platform

Топ уязвимостей

BDU:2021-05969Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2 связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

BDU:2020-02180Уязвимость виртуализатора Timelion сервиса визуализации данных Kibana связана с недостаточным управлением генерации кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды

BDU:2024-08238Уязвимость корпоративной платформы Red Hat OpenShift Container Platform связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и выполнить произвольные команды с помощью специально созданного файла .gitconfig, в процессе клонирования

BDU:2019-02523Уязвимость плагина Jenkins Pipeline Remote Loader связана с недостатками механизма защиты данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения песочницы, вызвав произвольные методы

CVE-2026-4480В подсистеме печати самбы был обнаружен недостаток. Samba передает контролируемую клиентом строку описания работы в команду, настроенную с настройкой "команда печати" через "%J" Характер подзамены без выхода из себя мета-персонажей. Удаленный злоумышленник может использовать эту уязвимость, отправив специально созданное описание работы с принтом, содержащее неизбежных символов оболочки. Это может привести к удаленному выполнению кода в пострадавшей системе.

CVE-2026-4408В Самбе был обнаружен недостаток. Удаленный злоумышленник может использовать неправильную конфигурацию в файловых серверах Samba и классических контроллерах домена, которые используют функцию «сценарий чекпика». Если этот скрипт настроен с символом замены %u, контролируемое клиентом имя пользователя передается без надлежащего выхода мета-характеров оболочки. Эта уязвимость позволяет злоумышленнику добиться удаленного выполнения команды в пострадавшей системе. Эта проблема в первую очередь затрагивает нестандартные конфигурации, где используется «скрипт слога проверьте паролем» с %u, а служба Samba-dcerpd запускается как системная служба.

CVE-2026-42010В гнетках был обнаружен недостаток. Серверы, настроенные с RSA-PSK (Rivest-Shamir-Adleman – Pre-Shared Key), неправомерно сопоставляют имена пользователей, содержащие символ NUL, с усеченными именами пользователей. Удаленный злоумышленник может использовать это, отправив специально созданное имя пользователя, что приведет к обходу аутентификации. Эта уязвимость позволяет злоумышленнику получить несанкционированный доступ, обходя процесс аутентификации.

CVE-2020-27846Существует уязвимость проверки подписи в crewjam/saml. Этот недостаток позволяет злоумышленнику обойти аутентификацию SAML. Самая большая угроза от этой уязвимости - конфиденциальность, целостность, а также доступность системы.

CVE-2019-9636Python 2.7.x до 2.7.16 и 3.x до 3.7.2 подвержены следующему: Неправильная обработка кодировки Unicode (с неправильным netloc) во время нормализации NFKC. Возможные последствия: Раскрытие информации (учетные данные, файлы cookie и т. д., которые кэшируются для данного имени хоста). Компоненты: urllib.parse.urlsplit, urllib.parse.urlparse. Вектор атаки: Специально созданный URL-адрес может быть неправильно проанализирован для поиска файлов cookie или данных аутентификации и отправки этой информации на другой хост, чем при правильном анализе. Это исправлено в: v2.7.17, v2.7.17rc1, v2.7.18, v2.7.18rc1; v3.5.10, v3.5.10rc1, v3.5.7, v3.5.8, v3.5.8rc1, v3.5.8rc2, v3.5.9; v3.6.10, v3.6.10rc1, v3.6.11, v3.6.11rc1, v3.6.12, v3.6.9, v3.6.9rc1; v3.7.3, v3.7.3rc1, v3.7.4, v3.7.4rc1, v3.7.4rc2, v3.7.5, v3.7.5rc1, v3.7.6, v3.7.6rc1, v3.7.7, v3.7.7rc1, v3.7.8, v3.7.8rc1, v3.7.9.

CVE-2019-14379SubTypeValidator.java в FasterXML jackson-databind до версии 2.9.9.2 неправильно обрабатывает типизацию по умолчанию при использовании ehcache (из-за net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), что приводит к удаленному выполнению кода.

CVE-2019-1010238Gnome Pango 1.42 и более поздние версии подвержены уязвимости: переполнение буфера. Воздействие: Переполнение буфера на основе кучи можно использовать для выполнения кода. Компонент: имя функции: pango_log2vis_get_embedding_levels, присвоение nchars и условие цикла. Вектор атаки: Ошибка может быть использована, когда приложение передает недопустимые строки utf-8 функциям, таким как pango_itemize.

CVE-2018-1002105Во всех версиях Kubernetes до v1.10.11, v1.11.5 и v1.12.3 неправильная обработка ответов об ошибках на проксированные запросы обновления в kube-apiserver позволяла специально созданным запросам установить соединение через сервер API Kubernetes с бэкенд-серверами, а затем отправлять произвольные запросы по тому же соединению непосредственно в бэкенд, аутентифицированные с помощью TLS-учетных данных сервера API Kubernetes, используемых для установления соединения с бэкендом.

CVE-2015-8103Подсистема Jenkins CLI в Jenkins до версии 1.638 и LTS до версии 1.625.2 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный сериализованный объект Java, связанный с проблемным файлом webapps/ROOT/WEB-INF/lib/commons-collections-*.jar и "Groovy variant in 'ysoserial'".

BDU:2026-05143Уязвимость библиотеки libssh связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

BDU:2026-04943Уязвимость функции cs_opt_mem.vsnprintf() движка для анализа бинарного кода Capstone связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

BDU:2026-00376Уязвимость функции TGZfname() утилиты untgz библиотеки сжатия zlib связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании

BDU:2024-01979Уязвимость пакета golang операционной системы Debian GNU/Linux связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

BDU:2023-07201Уязвимость директивы "//line" языка программирования Go связана с ошибками обработки входных данных при выполнении синтаксического анализа кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

BDU:2023-05718Уязвимость файла go.mod языка программирования Go связана с неверным управлением генерацией кода при загрузке цепочки инструментов Go Toolchain. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и выполнить произвольный код

BDU:2023-00291Уязвимость программного многоуровневого коммутатора Open vSwitch связана с потерей значимости целого числа при разборе Auto Attach TLV. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправлять специально созданные сообщения LLDP в уязвимую систему, запускать целочисленную потерю значимости и выполнять произвольный код в целевой системе

BDU:2023-00290Уязвимость программного многоуровневого коммутатора Open vSwitch связана с потерей значимости целого числа при разборе Auto Attach TLV. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправлять специально созданные сообщения LLDP в уязвимую систему, запускать целочисленную потерю значимости и выполнять произвольный код в целевой системе

BDU:2022-06275Уязвимость компонента StringSubstitutor библиотеки Apache Common Text связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

BDU:2022-02030Уязвимость системы управления базами данных H2 связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью функции jdbc:h2:mem, содержащей следующие настройки: IGNORE_UNKNOWN_SETTINGS=TRUE;FORBID_CREATION=FALSE;INIT=RUNSCRIPT

BDU:2022-00011Уязвимость сервера автоматизации Jenkins связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

BDU:2021-06271Уязвимость сервера автоматизации Jenkins связана с отсутствием процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Перейти к вендору →Открыть в каталоге с фильтром по продукту →