Podatność CVE-2019-10181
Publikacja: 2019-07-31   Modyfikacja: 2019-08-01

Opis:
It was found that in icedtea-web up to and including 1.7.2 and 1.8.2 executable code could be injected in a JAR file without compromising the signature verification. An attacker could use this flaw to inject code in a trusted JAR. The code would be executed inside the sandbox.

Typ:

CWE-345

 (Insufficient Verification of Data Authenticity)

CVSS2 => (AV:N/AC:M/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
6.8/10
6.4/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Icetea-web project -> Icetea-web 

 Referencje:
http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00045.html
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10181
https://github.com/AdoptOpenJDK/IcedTea-Web/issues/327
https://github.com/AdoptOpenJDK/IcedTea-Web/pull/344
Copyright 2024, cxsecurity.com

 

Back to Top