BDU:2019-01755: Уязвимость библиотеки jackson-databind, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку

Описание уязвимости Уязвимость библиотеки jackson-databind связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить SSRF-атаку с применением полиморфной десериализации
Вендор FasterXML, LLC, Oracle Corp.
Наименование ПО jackson-databind, Oracle Retail Merchandising System, Oracle JDeveloper
Версия ПО
  • от 2.0 до 2.9.7 (jackson-databind)
  • 15.0 (Oracle Retail Merchandising System)
  • 16.0 (Oracle Retail Merchandising System)
  • 12.1.3.0.0 (Oracle JDeveloper)
  • 12.2.1.3.0 (Oracle JDeveloper)
Тип ПО Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Серверная фальсификация запросов
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 27.07.2018
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)
Возможные меры по устранению уязвимости
Для библиотеки FasterXML jackson-databind использование рекомендаций:
https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.9.7

Для продуктов Oracle использование рекомендаций:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Подмена при взаимодействии
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация -
Последние изменения