V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
К каталогу
CVE-2021-39152
DEB
Высокий

XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному зл…

CVSS
8.5
Высокий
EPSS
0.11
p95
Опубликовано
2021-01-01
Обновлено
2021-01-01
Описание

XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику запрашивать данные из внутренних ресурсов, которые не являются общедоступными, только путем манипулирования обработанным входным потоком с Java runtime версии от 14 до 8. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. Если вы полагаетесь на черный список XStream по умолчанию из [Security Framework](https://x-stream.github.io/security.html#framework), вам необходимо использовать как минимум версию 1.4.18.

Теги · CWE
CWE-502
CAPEC-586
Затронутые продукты
Business_activity_monitoringCommerce_guided_searchCommunications_billing_and_revenue_management_elastic_charging_engineCommunications_cloud_native_core_automated_test_suiteCommunications_cloud_native_core_binding_support_functionCommunications_cloud_native_core_policyCommunications_unified_inventory_managementRetail_xstore_point_of_serviceUtilities_frameworkUtilities_testing_acceleratorWebcenter_portal
Вектор CVSS
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Хронология
2021-01-01
Опубликована
2021-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: C
Изменена (C)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.115 · p95
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
Debian
Debian LinuxLibxstream-java
Canonical
Libxstream-java
Red Hat
Xstream
Oracle
Retail Xstore Point Of ServiceCommunications Cloud Native Core PolicyWebcenter PortalCommunications Cloud Native Core Binding Support FunctionCommunications Unified Inventory ManagementCommerce Guided SearchCommunications Cloud Native Core Automated Test SuiteUtilities FrameworkCommunications Billing And Revenue Management Elastic Charging EngineBusiness Activity Monitoring+1
Fedoraproject
Fedora
Netapp
Snapmanager
Xstream
Xstream
ПродуктВендорСтатус
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
xstreamОтслеживается
business_activity_monitoring*Отслеживается
commerce_guided_search*Отслеживается
communications_billing_and_revenue_management_elastic_charging_engine*Отслеживается
communications_cloud_native_core_automated_test_suite*Отслеживается
communications_cloud_native_core_binding_support_function*Отслеживается
communications_cloud_native_core_policy*Отслеживается
communications_unified_inventory_management*Отслеживается
debian_linux*Отслеживается
fedora*Отслеживается
Показаны первые 20 из 26
Источники данных
DEB
CVE
RED
UBU