Vulnerabilidad en Java SE, Java SE Embedded de Oracle Java SE (CVE-2019-2762)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

23/07/2019

Última modificación:

06/10/2022

Descripción

Vulnerabilidad en los componentes Java SE, Java SE Embedded de Oracle Java SE (subcomponente: Utilities). Las versiones compatibles que se ven afectadas son Java SE: 7u221, 8u212, 11.0.3 y 12.0.1; Java SE Embedded: 8u211. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometa Java SE, Java SE Embedded. Los ataques con éxito a esta vulnerabilidad pueden dar lugar a que el atacante consiga provocar una denegación de servicio parcial (DoS parcial) de Java SE y Java SE Embedded. Nota: Esta vulnerabilidad se aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start en sandboxes o en applets de Java en sandboxes (en Java SE 8), que cargan y ejecutan código no confiable (por ejemplo, código que proviene de Internet) y se basan en Java Sandbox para seguridad. Esta vulnerabilidad también puede explotarse mediante el uso de API en el Componente especificado, por ejemplo, por medio de un servicio web que suministra datos a las API. CVSS 3.0 Base Score 5.3 (Impactos en la disponibilidad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L).

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0

5.00

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:oracle:jdk:1.7.0:update221::::::
cpe:2.3:a:oracle:jdk:1.8.0:update211::::::
cpe:2.3:a:oracle:jdk:1.8.0:update212::::::
cpe:2.3:a:oracle:jdk:11.0.3:::::::*
cpe:2.3:a:oracle:jdk:12.0.1:::::::*
cpe:2.3:a:oracle:jre:1.7.0:update221::::::
cpe:2.3:a:oracle:jre:1.8.0:update211::::::
cpe:2.3:a:oracle:jre:1.8.0:update212::::::
cpe:2.3:a:oracle:jre:11.0.3:::::::*
cpe:2.3:a:oracle:jre:12.0.1:::::::*
cpe:2.3:o:canonical:ubuntu_linux:16.04::::esm:::
cpe:2.3:o:canonical:ubuntu_linux:18.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:19.04:::::::*
cpe:2.3:o:opensuse:leap:15.0:::::::*
cpe:2.3:o:opensuse:leap:15.1:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:oracle:jdk:1.7.0:update221::::::
cpe:2.3:a:oracle:jdk:1.8.0:update211::::::
cpe:2.3:a:oracle:jdk:1.8.0:update212::::::
cpe:2.3:a:oracle:jdk:11.0.3:::::::*
cpe:2.3:a:oracle:jdk:12.0.1:::::::*
cpe:2.3:a:oracle:jre:1.7.0:update221::::::
cpe:2.3:a:oracle:jre:1.8.0:update211::::::
cpe:2.3:a:oracle:jre:1.8.0:update212::::::
cpe:2.3:a:oracle:jre:11.0.3:::::::*
cpe:2.3:a:oracle:jre:12.0.1:::::::*
cpe:2.3:o:canonical:ubuntu_linux:16.04::::esm:::
cpe:2.3:o:canonical:ubuntu_linux:18.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:19.04:::::::*
cpe:2.3:o:opensuse:leap:15.0:::::::*
cpe:2.3:o:opensuse:leap:15.1:::::::*

Vulnerabilidad en Java SE, Java SE Embedded de Oracle Java SE (CVE-2019-2762)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información