Vulnerabilidad en ReflectionHelper en Hibernate Validator (CVE-2014-3558)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
30/09/2014
Última modificación:
12/04/2025
Descripción
ReflectionHelper (org.hibernate.validator.util.ReflectionHelper) en Hibernate Validator 4.1.0 anterior a 4.2.1, 4.3.x anterior a 4.3.2, y 5.x anterior a 5.1.2 permite a atacantes evadir las restricciones de Java Security Manager (JSM) y ejecutar llamadas de reflección restringidas a través de una aplicación manipulada.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redhat:hibernate_validator:*:*:*:*:*:*:*:* | 4.3.0 (incluyendo) | 4.3.2 (excluyendo) |
| cpe:2.3:a:redhat:hibernate_validator:*:*:*:*:*:*:*:* | 5.0.0 (incluyendo) | 5.0.3 (incluyendo) |
| cpe:2.3:a:redhat:hibernate_validator:*:*:*:*:*:*:*:* | 5.1.0 (incluyendo) | 5.1.2 (excluyendo) |
| cpe:2.3:a:redhat:hibernate_validator:4.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:hibernate_validator:4.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:hibernate_validator:4.2.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:hibernate_validator:4.2.0:beta2:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:hibernate_validator:4.2.0:cr1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://rhn.redhat.com/errata/RHSA-2014-1285.html
- http://rhn.redhat.com/errata/RHSA-2014-1286.html
- http://rhn.redhat.com/errata/RHSA-2014-1287.html
- http://rhn.redhat.com/errata/RHSA-2014-1288.html
- http://rhn.redhat.com/errata/RHSA-2015-0125.html
- http://rhn.redhat.com/errata/RHSA-2015-0720.html
- https://github.com/victims/victims-cve-db/blob/master/database/java/2014/3558.yaml
- https://hibernate.atlassian.net/browse/HV-912
- http://rhn.redhat.com/errata/RHSA-2014-1285.html
- http://rhn.redhat.com/errata/RHSA-2014-1286.html
- http://rhn.redhat.com/errata/RHSA-2014-1287.html
- http://rhn.redhat.com/errata/RHSA-2014-1288.html
- http://rhn.redhat.com/errata/RHSA-2015-0125.html
- http://rhn.redhat.com/errata/RHSA-2015-0720.html
- https://github.com/victims/victims-cve-db/blob/master/database/java/2014/3558.yaml
- https://hibernate.atlassian.net/browse/HV-912