Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en FasterXML (CVE-2019-14379)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/07/2019
Última modificación:
07/11/2023

Descripción

El archivo SubTypeValidator.java en jackson-databind de FasterXML en versiones anteriores a la 2.9.9.2 maneja inapropiadamente la escritura predeterminada cuando se usa ehcache (debido a net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), lo que conlleva a la ejecución de código remoto.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:* 2.0.0 (incluyendo) 2.6.7.3 (excluyendo)
cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:* 2.7.0 (incluyendo) 2.7.9.6 (excluyendo)
cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:* 2.8.0 (incluyendo) 2.8.11.4 (excluyendo)
cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:* 2.9.0 (incluyendo) 2.9.9.2 (excluyendo)
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:a:netapp:active_iq_unified_manager:*:*:*:*:*:linux:*:* 7.3 (incluyendo)
cpe:2.3:a:netapp:active_iq_unified_manager:*:*:*:*:*:windows:*:* 7.3 (incluyendo)
cpe:2.3:a:netapp:active_iq_unified_manager:*:*:*:*:*:vmware_vsphere:*:* 9.5 (incluyendo)
cpe:2.3:a:netapp:oncommand_workflow_automation:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:service_level_manager:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:snapcenter:-:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:29:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*
cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.2:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información