ProduktIBM Cloud Pak System, wersje 2.3.0.1, 2.3.1.1, 2.3.2.0 i 2.2.6
Numer CVECVE-2020-24750
Krytyczność9.4 / 10
Wektor CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H
AktualizacjaTAK
OpisFasterXML jackson-databind może umożliwić zdalnemu atakującemu wykonanie dowolnego kodu w systemie, spowodowanego niebezpieczną deserializacją, związaną z com.pastdev.httpcomponents.configuration.JndiConfiguration. Atakujący może wykorzystać tę podatność wysyłając spreparowane dane wejściowe.
Linkhttps://www.ibm.com/support/pages/node/6343203
ProduktIBM Cloud Pak for Data, wersje 2.5, 3.0.1
Numer CVECVE-2020-8174
Krytyczność9.8 / 10
Wektor CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
AktualizacjaTAK
OpisNode.js jest podatny na przepełnienie bufora spowodowane wielokrotnymi uszkodzeniami pamięci w funkcjach napi_get_value_string_latin1(), napi_get_value_string_utf8() lub napi_get_value_string_utf16(). Wysyłając zbyt długi ciąg, zdalny atakujący może przepełnić bufor i wykonać dowolny kod w systemie lub wywołać warunek odmowy usługi (DoS).
Numer CVECVE-2020-8172
Krytyczność7.5 / 10
Wektor CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
AktualizacjaTAK
OpisNode.js może umożliwić zdalnemu atakującemu obejście ograniczeń zabezpieczeń. Zdarzenie „session” mogłoby zostać wyemitowane przed zdarzeniem „secureConnect” i prawdopodobnie pozwolić na ponowne wykorzystanie sesji TLS. Atakujący może wykorzystać tę podatność, aby ominąć weryfikację certyfikatu hosta i uzyskać dostęp do systemu.
Numer CVECVE-2019-15606
Krytyczność6.5 / 10
Wektor CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
AktualizacjaTAK
OpisNode.js może umożliwić zdalnemu atakującemu obejście ograniczeń zabezpieczeń, spowodowanych problemem, gdy wartości nagłówka HTTP nie mają przyciętego końcowego OWS. Wysyłając specjalnie spreparowane żądanie, atakujący może wykorzystać tępodatność w celu ominięcia autoryzacji na podstawie porównania wartości nagłówka.
Linkhttps://www.ibm.com/support/pages/node/6343701 https://www.ibm.com/support/pages/node/6343387
ProduktIBM Security Guardium, wersja 11.2
Numer CVECVE-2020-9547
CVE-2020-9548
CVE-2020-9546
Krytyczność9.8 / 10
Wektor CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
AktualizacjaTAK
OpisFasterXML jackson-databind może umożliwić zdalnemu atakującemu wykonanie dowolnego kodu w systemie, poprzez przesłanie spreparowanego żądania.
Linkhttps://www.ibm.com/support/pages/node/6347600