Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el componente Java SE, Java SE Embedded de Oracle Java SE (CVE-2017-3289)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/01/2017
Última modificación:
20/04/2025

Descripción

Vulnerabilidad en el componente Java SE, Java SE Embedded de Oracle Java SE (subcomponente: Hotspot). Versiones compatibles que están afectadas son Java SE: 7u121 y 8u112; Java SE Embedded: 8u111. Vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos, comprometer Java SE, Java SE Embedded. Ataques exitosos requieren interacción humana de una persona distinta del atacante y mientras la vulnerabilidad esté en Java SE, Java SE Embedded, los ataques podrían afectar significativamente a productos adicionales. Ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start o applets Java aisladas, que cargan y ejecutan código no confiable (e.j: Código procedente de internet) y depende del aislamiento de seguridad de Java. Esta vulnerabilidad no se aplica a implementaciones JAVA, normalmente en servidores, que cargan y ejecutan solo código de confianza (e.j: Código instalado por un administrador). CVSS v3.0 Base Score 9.6 (Impactos de Confidencialidad, Integridad y Disponibilidad).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:oracle:jdk:1.7:update_121:*:*:*:*:*:*
cpe:2.3:a:oracle:jdk:1.8:update_111:*:*:*:*:*:*
cpe:2.3:a:oracle:jdk:1.8:update_112:*:*:*:*:*:*
cpe:2.3:a:oracle:jre:1.7:update_121:*:*:*:*:*:*
cpe:2.3:a:oracle:jre:1.8:update_111:*:*:*:*:*:*
cpe:2.3:a:oracle:jre:1.8:update_112:*:*:*:*:*:*


Referencias a soluciones, herramientas e información