ГлавнаяБаза уязвимостей БДУ → BDU:2024-01622
4средняя

BDU:2024-01622 (CVE-2022-4246)

Уязвимость библиотеки codehaus-plexus фреймворка Apache Maven, связана с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-02-28
Описание

Уязвимость библиотеки codehaus-plexus фреймворка Apache Maven связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat JBoss Fuse (7)Debian GNU/Linux (10)Red Hat Software CollectionsRed Hat Single Sign-On (7)Red Hat JBoss Fuse (6)Red Hat JBoss Data Grid (7)SUSE Linux Enterprise Module for Development Tools (15 SP2)A-MQ Clients (2)Red Hat Process Automation (7)Red Hat build of QuarkusRed Hat Integration Service RegistryRed Hat Integration Camel QuarkusDebian GNU/Linux (11)Debian GNU/Linux (12)Red Hat Data Grid (8)Red Hat JBoss Fuse Service Works (6)Red Hat JBoss Enterprise Application Platform Expansion PackSUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)Suse Linux Enterprise Desktop (15 SP3)SUSE Enterprise Storage (7)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Manager Server (4.1)SUSE Manager Proxy (4.1)SUSE Linux Enterprise High Performance Computing (15 SP2-ESPOS)
Способ устранения

Использование рекомендаций:
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-4245.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-4246

Для codehaus-plexus:
https://github.com/codehaus-plexus/plexus-utils/issues/3
https://github.com/codehaus-plexus/plexus-utils/commit/f933e5e78dc2637e485447ed821fe14904f110de

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-4245

Для Logstash:
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://access.redhat.com/errata/RHSA-2023:3906https://access.redhat.com/security/cve/CVE-2022-4246https://github.com/codehaus-plexus/plexus-utils/commit/f933e5e78dc2637e485447ed821fe14904f110dehttps://github.com/codehaus-plexus/plexus-utils/issues/3https://www.suse.com/security/cve/CVE-2022-4245.htmlhttps://security-tracker.debian.org/tracker/CVE-2022-4245
Проверьте безопасность своего сайта и почты → Полная проверка домена