СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
06.07.2022

Уязвимость BDU:2022-04278

Уязвимость BDU:2022-04278

Идентификатор: BDU:2022-04278.

Наименование уязвимости: Уязвимость библиотеки Apache Commons Configuration, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость библиотеки Apache Commons Configuration связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально сформированых запросов script, dns и url
Уязвимое ПО: Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Прикладное ПО информационных систем Apache Software Foundation Commons Configuration до 2.8 | Прикладное ПО информационных систем IBM Corp. IBM Sterling Connect от 4.8.0.0 до 4.8.0.3_iFix049 | Прикладное ПО информационных систем IBM Corp. IBM Sterling Connect от 6.0.0.0 до 6.0.0.4_iFix056 | Прикладное ПО информационных систем IBM Corp. IBM Sterling Connect от 6.1.0.0 до 6.1.0.2_iFix050 | Прикладное ПО информационных систем IBM Corp. IBM Sterling Connect от 6.2.0.0 до 6.2.0.4_iFix013 |

Наименование ОС и тип аппаратной платформы: РЕД ОС 73 |
Дата выявления: 06.07.2022.
CVSS 2.0: AV:N/AC:H/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,6)

Возможные меры по устранению:
Использование рекомендаций:
Для Apache Commons Configuration:
https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s

Для программных продуктов Apple Inc.:
https://www.ibm.com/support/pages/node/6612685

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-apache-commons-configuration-cve-2022-33980/?sphrase_id=1075830.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-33980.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s
https://www.ibm.com/support/pages/node/6612685
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-apache-commons-configuration-cve-2022-33980/?sphrase_id=1075830

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: