V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
К каталогу
CVE-2021-39153
DEB
Высокий

XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному зл…

CVSS
8.5
Высокий
EPSS
0.04
p90
Опубликовано
2021-01-01
Обновлено
2021-01-01
Описание

XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком, если используется версия "из коробки" с Java runtime версии от 14 до 8 или с установленным JavaFX. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, так как он не может быть защищен для общего использования.

Теги · CWE
Загрузка файлов
CWE-434
CAPEC-1
Затронутые продукты
Business_activity_monitoringCommunications_billing_and_revenue_management_elastic_charging_engineCommunications_cloud_native_core_automated_test_suiteCommunications_cloud_native_core_binding_support_functionCommunications_cloud_native_core_policyCommunications_unified_inventory_managementUtilities_frameworkUtilities_testing_acceleratorWebcenter_portal
Вектор CVSS
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Хронология
2021-01-01
Опубликована
2021-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: C
Изменена (C)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.045 · p90
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
└ через CAPEC-1 · CWE-434
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
Debian
Debian LinuxLibxstream-java
Canonical
Libxstream-java
Red Hat
Xstream
Oracle
Communications Cloud Native Core PolicyWebcenter PortalCommunications Cloud Native Core Binding Support FunctionCommunications Unified Inventory ManagementCommunications Cloud Native Core Automated Test SuiteUtilities FrameworkCommunications Billing And Revenue Management Elastic Charging EngineBusiness Activity MonitoringUtilities Testing Accelerator
Fedoraproject
Fedora
Netapp
Snapmanager
Xstream
Xstream
ПродуктВендорСтатус
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
libxstream-javaОтслеживается
xstreamОтслеживается
business_activity_monitoring*Отслеживается
communications_billing_and_revenue_management_elastic_charging_engine*Отслеживается
communications_cloud_native_core_automated_test_suite*Отслеживается
communications_cloud_native_core_binding_support_function*Отслеживается
communications_cloud_native_core_policy*Отслеживается
communications_unified_inventory_management*Отслеживается
debian_linux*Отслеживается
fedora*Отслеживается
snapmanager*Отслеживается
Показаны первые 20 из 24
Источники данных
DEB
CVE
RED
UBU