Podatność CVE-2019-14893


Publikacja: 2020-03-02   Modyfikacja: 2020-03-03

Opis:
A flaw was discovered in FasterXML jackson-databind in all versions before 2.9.10 and 2.10.0, where it would permit polymorphic deserialization of malicious objects using the xalan JNDI gadget when used in conjunction with polymorphic type handling methods such as `enableDefaultTyping()` or when @JsonTypeInfo is using `Id.CLASS` or `Id.MINIMAL_CLASS` or in any other way which ObjectMapper.readValue might instantiate objects from unsafe sources. An attacker could use this flaw to execute arbitrary code.

Typ:

CWE-502

(Deserialization of Untrusted Data)

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
7.5/10
6.4/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Redhat -> Decision manager 
Redhat -> Jboss data grid 
Redhat -> Jboss enterprise application platform 
Redhat -> Jboss fuse 
Redhat -> Openshift container platform 
Redhat -> Process automation 
Fasterxml -> Jackson-databind 

 Referencje:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14893
https://github.com/FasterXML/jackson-databind/issues/2469

Copyright 2024, cxsecurity.com

 

Back to Top