🕵️ Apache Camel bis 2.15.4/2.16.0 camel-xstream erweiterte Rechte
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 80778
Betroffen: Apache Camel bis 2.15.4/2.16.0
Veröffentlicht: 03.02.2016
Risiko: kritisch
Erstellt: 05.02.2016
Eintrag: 66.2% komplett
Beschreibung
Es wurde eine Schwachstelle in Apache Camel bis 2.15.4/2.16.0 gefunden. Sie wurde als kritisch eingestuft. Dabei betrifft es eine unbekannte Funktion der Komponente camel-xstream. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
The camel-xstream component in Apache Camel before 2.15.5 and 2.16.x before 2.16.1 allow remote attackers to execute arbitrary commands via a crafted serialized Java object in an HTTP request.
Die Schwachstelle wurde am 03.02.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2015-5344 geführt. Der Angriff kann über das Netzwerk erfolgen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade auf die Version 2.15.5 oder 2.16.1 vermag dieses Problem zu beheben.CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $10k-$25k (0-day) / $5k-$10k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Camel 2.15.5/2.16.1
Timeline
03.02.2016 | Advisory veröffentlicht
05.02.2016 | VulDB Eintrag erstellt
05.02.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-5344 (mitre.org) (nvd.nist.org) (cvedetails.com)
...