Kwetsbaarheid CVE-2018-14721

FasterXML Jackson-databind 2.x Before 2.9.7 Might Allow Remote Attackers To Conduct Server-side Request Forgery (SSRF) Attacks By Leveraging Failure To Block The Axis2-jaxws Class From Polymorphic Deserialization.

Algemeen

CVE
CVE-2018-14721
Leverancier(s) betrokken
- Fasterxml
- Oracle
- Redhat
- Debian
Omschrijving
FasterXML Jackson-databind 2.x Before 2.9.7 Might Allow Remote Attackers To Conduct Server-side Request Forgery (SSRF) Attacks By Leveraging Failure To Block The Axis2-jaxws Class From Polymorphic Deserialization.
Publicatie
Woensdag, 2 Januari 2019
Gewijzigd
Woensdag, 21 Augustus 2019 19:00
Ernst
High

Score

Score
7.5
    - Basis
7.5
    - Impact
6.4
    - Misbruik
10.0

Risicoprofiel

CVSS V2 Vector
(AV:N/AC:L/Au:N/C:P/I:P/A:P)

Toegankelijkheid
Netwerk Een kwaadwillende derde kan dit beveiligingslek misbruiken zonder lokale systeem- of netwerktoegang te hebben.
Complexiteit
Laag Een kwaadwillende derde kan zonder veel moeite of geplande kennis dit beveiligingslek misbruiken.
Authenticatie
Geen Een kwaadwillende derde hoeft zich niet te authenticeren om in het systeem te komen om misbruik te maken van dit beveiligingslek.
Configuratie
Gedeeltelijk Een kwaadwillende derde kan bij misbruik van dit beveiligingslek toegang krijgen tot bepaalde systeembestanden, maar kan niet controleren welke informatie precies wordt verkregen.
Integriteit
Gedeeltelijk Een kwaadwillende derde is bij misbruik van dit beveiligingslek in staat databestanden toegankelijk via het systeem of lokale systeeminformatie aan te passen, maar kan niet controleren welke bestanden kunnen worden aangepast of in welke mate. De integriteit van het systeem is gedeeltelijk aangetast.
Beschikbaarheid
Gedeeltelijk Als een kwaadwillende derde dit beveiligingslek succesvol weet te misbruiken, wordt de beschikbaarheid van het systeem gedeeltelijk beperkt. Het systeem presteert zwakker of is nog maar beperkt te bereiken.

Getroffen programmatuur

Leverancier Software Versie
redhat openshift container platform 3.11
redhat jboss enterprise application platform 7.2
oracle webcenter portal 12.2.1.3.0
oracle retail merchandising system 16.0
oracle retail merchandising system 15.0
oracle primavera unifier 18.8
oracle primavera unifier 16.2
oracle primavera unifier 16.1
oracle jdeveloper 12.2.1.3.0
oracle jdeveloper 12.1.3.0.0
oracle financial services analytical applications infrastructure 8.0.7
oracle financial services analytical applications infrastructure 8.0.6
oracle financial services analytical applications infrastructure 8.0.5
oracle financial services analytical applications infrastructure 8.0.4
oracle financial services analytical applications infrastructure 8.0.3
oracle financial services analytical applications infrastructure 8.0.2
oracle enterprise manager for virtualization 13.3.1
oracle enterprise manager for virtualization 13.2.3
oracle enterprise manager for virtualization 13.2.2
oracle communications billing and revenue management 7.5
oracle communications billing and revenue management 12.0
oracle banking platform 2.6.2
oracle banking platform 2.6.1
oracle banking platform 2.6.0
oracle banking platform 2.5.0
fasterxml jackson-databind 2.9.6
fasterxml jackson-databind 2.9.5
fasterxml jackson-databind 2.9.4
fasterxml jackson-databind 2.9.3
fasterxml jackson-databind 2.9.2
fasterxml jackson-databind 2.9.1
fasterxml jackson-databind 2.9.0 prerelease4
fasterxml jackson-databind 2.9.0 prerelease3
fasterxml jackson-databind 2.9.0 prerelease2
fasterxml jackson-databind 2.9.0 prerelease1
fasterxml jackson-databind 2.9.0 pr4
fasterxml jackson-databind 2.9.0 pr3
fasterxml jackson-databind 2.9.0 pr2
fasterxml jackson-databind 2.9.0 pr1
fasterxml jackson-databind 2.9.0 -
fasterxml jackson-databind 2.8.9
fasterxml jackson-databind 2.8.8
fasterxml jackson-databind 2.8.8.1
fasterxml jackson-databind 2.8.7
fasterxml jackson-databind 2.8.6
fasterxml jackson-databind 2.8.5
fasterxml jackson-databind 2.8.4
fasterxml jackson-databind 2.8.3
fasterxml jackson-databind 2.8.2
fasterxml jackson-databind 2.8.1
fasterxml jackson-databind 2.8.11
fasterxml jackson-databind 2.8.11.2
fasterxml jackson-databind 2.8.11.1
fasterxml jackson-databind 2.8.10
fasterxml jackson-databind 2.8.0 rc2
fasterxml jackson-databind 2.8.0 rc1
fasterxml jackson-databind 2.7.9
fasterxml jackson-databind 2.7.9.4
fasterxml jackson-databind 2.7.9.3
fasterxml jackson-databind 2.7.9.2
fasterxml jackson-databind 2.7.9.1
fasterxml jackson-databind 2.7.8
fasterxml jackson-databind 2.7.7
fasterxml jackson-databind 2.7.6
fasterxml jackson-databind 2.7.5
fasterxml jackson-databind 2.7.4
fasterxml jackson-databind 2.7.3
fasterxml jackson-databind 2.7.2
fasterxml jackson-databind 2.7.1
fasterxml jackson-databind 2.7.1-1
fasterxml jackson-databind 2.7.0 rc3
fasterxml jackson-databind 2.7.0 rc2
fasterxml jackson-databind 2.7.0 rc1
fasterxml jackson-databind 2.7.0 -
fasterxml jackson-databind 2.6.7
fasterxml jackson-databind 2.6.7.1
fasterxml jackson-databind 2.6.6
fasterxml jackson-databind 2.6.5
fasterxml jackson-databind 2.6.4
fasterxml jackson-databind 2.6.3
fasterxml jackson-databind 2.6.2
fasterxml jackson-databind 2.6.1
fasterxml jackson-databind 2.6.0 rc4
fasterxml jackson-databind 2.6.0 rc3
fasterxml jackson-databind 2.6.0 rc2
fasterxml jackson-databind 2.6.0 rc1
fasterxml jackson-databind 2.6.0 -
debian debian linux 9.0
debian debian linux 8.0

Referenties

Modificatie geschiedenis

Geef hieronder je email adres op en word op de hoogte gehouden van aanpassingen aan deze CVE