FasterXML jackson-databind तक 2.9.6 Deserialization axis2-jaxws अनुरोध अधिकार वृद्धि

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
8.2$0-$5k0.00

सारांशजानकारी

एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, FasterXML jackson-databind तक 2.9.6 में पाई गई है। प्रभावित होता है फ़ंक्शन axis2-jaxws घटक Deserialization का। यह संशोधन अनुरोध का भाग होने पर अधिकार वृद्धि का कारण बन सकता है। यह भेद्यता CVE-2018-14721 के रूप में व्यापार की जाती है। हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई एक्सप्लॉइट नहीं मिला है. प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।

विवरणजानकारी

एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, FasterXML jackson-databind तक 2.9.6 में पाई गई है। प्रभावित होता है फ़ंक्शन axis2-jaxws घटक Deserialization का। यह संशोधन अनुरोध का भाग होने पर अधिकार वृद्धि का कारण बन सकता है। CWE के माध्यम से समस्या घोषित करने पर CWE-918 मिलता है। बग की खोज 27/07/2018 को हुई थी। इस कमजोरी को प्रकाशित किया गया था 02/01/2019 (GitHub Repository). सलाह github.com पर डाउनलोड हेतु साझा की गई है।

यह भेद्यता CVE-2018-14721 के रूप में व्यापार की जाती है। 28/07/2018 को CVE असाइन किया गया था. हमला दूरस्थ रूप से शुरू किया जा सकता है। टेक्निकल डिटेल्स उपलब्ध हैं. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई एक्सप्लॉइट नहीं मिला है. वर्तमान में किसी एक्सप्लॉइट की कीमत लगभग USD $0-$5k हो सकती है।

यह परिभाषित नहीं के रूप में घोषित है। कम से कम 159 दिनों तक इस भेद्यता को सार्वजनिक न किए गए ज़ीरो-डे एक्सप्लॉइट के रूप में संभाला गया। 0-day के तौर पर अनुमानित भूमिगत दाम लगभग $0-$5k था। Nessus वल्नरेबिलिटी स्कैनर 121251 आईडी के साथ एक प्लगइन उपलब्ध कराता है। यह CGI abuses परिवार को सौंपा गया है। यह प्लगइन r टाइप के कॉन्टेक्स्ट में चल रहा है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 176635 प्लगइन से कर सकता है (Debian Security Update for jackson-databind (DLA 1703-1)).

इस समस्या का समाधान 2.9.7 संस्करण में अपग्रेड करने से किया जा सकता है। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा। कमजोरी के प्रकटीकरण के 2 सप्ताह बाद एक संभावित शमन उपाय प्रकाशित किया गया है।

यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: SecurityFocus (BID 106601) , Tenable (121251).

उत्पादजानकारी

प्रकार

विक्रेता

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 8.6
VulDB मेटा अस्थायी स्कोर: 8.2

VulDB मूल स्कोर: 7.3
VulDB अस्थायी स्कोर: 6.4
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 10.0
NVD वेक्टर: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: अधिकार वृद्धि
CWE: CWE-918
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: परिभाषित नहीं

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 121251
Nessus नाम: Oracle Primavera Unifier Multiple Vulnerabilities (Jan 2019 CPU)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: jackson-databind 2.9.7
पैच: github.com

समयरेखाजानकारी

27/07/2018 🔍
27/07/2018 +0 दिन 🔍
28/07/2018 +1 दिन 🔍
02/01/2019 +158 दिन 🔍
02/01/2019 +0 दिन 🔍
03/01/2019 +1 दिन 🔍
11/01/2019 +8 दिन 🔍
18/01/2019 +7 दिन 🔍
22/06/2023 +1616 दिन 🔍

स्रोतजानकारी

उत्पाद: github.com

सलाह: RHSA-2019:0782
स्थिति: परिभाषित नहीं
पुष्टि: 🔍

CVE: CVE-2018-14721 (🔍)
GCVE (CVE): GCVE-0-2018-14721
GCVE (VulDB): GCVE-100-128617
SecurityFocus: 106601 - FasterXML Jackson-databind CVE-2018-14718 Remote Code Execution Vulnerability

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 03/01/2019 12:24 PM
अद्यतनित: 22/06/2023 05:07 PM
परिवर्तन: 03/01/2019 12:24 PM (73), 25/04/2020 05:24 PM (7), 22/06/2023 05:07 PM (5)
पूर्ण: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!