4средняя
BDU:2024-01622 (CVE-2022-4246)
Уязвимость библиотеки codehaus-plexus фреймворка Apache Maven, связана с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-02-28
Описание
Уязвимость библиотеки codehaus-plexus фреймворка Apache Maven связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat JBoss Fuse (7)Debian GNU/Linux (10)Red Hat Software CollectionsRed Hat Single Sign-On (7)Red Hat JBoss Fuse (6)Red Hat JBoss Data Grid (7)SUSE Linux Enterprise Module for Development Tools (15 SP2)A-MQ Clients (2)Red Hat Process Automation (7)Red Hat build of QuarkusRed Hat Integration Service RegistryRed Hat Integration Camel QuarkusDebian GNU/Linux (11)Debian GNU/Linux (12)Red Hat Data Grid (8)Red Hat JBoss Fuse Service Works (6)Red Hat JBoss Enterprise Application Platform Expansion PackSUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)Suse Linux Enterprise Desktop (15 SP3)SUSE Enterprise Storage (7)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Manager Server (4.1)SUSE Manager Proxy (4.1)SUSE Linux Enterprise High Performance Computing (15 SP2-ESPOS)
Способ устранения
Использование рекомендаций:
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-4245.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-4246
Для codehaus-plexus:
https://github.com/codehaus-plexus/plexus-utils/issues/3
https://github.com/codehaus-plexus/plexus-utils/commit/f933e5e78dc2637e485447ed821fe14904f110de
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-4245
Для Logstash:
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства
Оценка CVSS
| Балл | 4 — средняя опасность |
Источники и патчи