Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - CVE - CVE-2024-21094

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - CVE CVE-2024-21094
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CVE-2024-21094

PUBLISHED 13.02.2025

CNA: oracle

Обновлено: 26.04.2024
Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Hotspot). Supported versions that are affected are Oracle Java SE: 8u401, 8u401-perf, 11.0.22, 17.0.10, 21.0.2, 22; Oracle GraalVM for JDK: 17.0.10, 21.0.2, 22; Oracle GraalVM Enterprise Edition: 20.3.13 and 21.3.9. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition accessible data. Note: This vulnerability can be exploited by using APIs in the specified Component, e.g., through a web service which supplies data to the APIs. This vulnerability also applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. CVSS 3.1 Base Score 3.7 (Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N).

БДУ ФСТЭК

Идентификатор Описание
BDU:2024-03427 Уязвимость компонента Hotspot программной платформы Oracle Java SE, виртуальных машин Oracle GraalVM Enterprise Edition и Oracle GraalVM for JDK позволяющая нарушителю получить доступ на изменение, добавление или удаление данных

CVSS

Оценка Severity Версия Базовый вектор
3.7 LOW 3.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Доп. Информация

Product Status

Java SE JDK and JRE
Product: Java SE JDK and JRE
Vendor: Oracle Corporation
Default status: Не определен
Версии:
Затронутые версии Статус
Наблюдалось в версии Oracle Java SE:8u401 affected
Наблюдалось в версии Oracle Java SE:8u401-perf affected
Наблюдалось в версии Oracle Java SE:11.0.22 affected
Наблюдалось в версии Oracle Java SE:17.0.10 affected
Наблюдалось в версии Oracle Java SE:21.0.2 affected
Наблюдалось в версии Oracle Java SE:22 affected
Наблюдалось в версии Oracle GraalVM for JDK:17.0.10 affected
Наблюдалось в версии Oracle GraalVM for JDK:21.0.2 affected
Наблюдалось в версии Oracle GraalVM for JDK:22 affected
Наблюдалось в версии Oracle GraalVM Enterprise Edition:20.3.13 affected
Наблюдалось в версии Oracle GraalVM Enterprise Edition:21.3.9 affected
СPE:
  • cpe:2.3:a:oracle:java_se:8u401:*:*:*:*:*:*:*
  • cpe:2.3:a:oracle:java_se:8u401:*:*:*:enterprise_performance:*:*:*
  • cpe:2.3:a:oracle:java_se:11.0.22:*:*:*:*:*:*:*
  • cpe:2.3:a:oracle:java_se:17.0.10:*:*:*:*:*:*:*
  • cpe:2.3:a:oracle:java_se:21.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:oracle:java_se:22:*:*:*:*:*:*:*
  • cpe:2.3:a:oracle:graalvm_for_jdk:17.0.10:*:*:*:*:*:*:*
  • cpe:2.3:a:oracle:graalvm_for_jdk:21.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:oracle:graalvm_for_jdk:22:*:*:*:*:*:*:*
  • cpe:2.3:a:oracle:graalvm:20.3.13:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:oracle:graalvm:21.3.9:*:*:*:enterprise:*:*:*
 

Ссылки

https://www.oracle.com/security-alerts/cpuapr2024.html
https://lists.debian.org/debian-lts-announce/2024/04/msg00014.html
https://security.netapp.com/advisory/ntap-20240426-0004/

CISA ADP Vulnrichment

Обновлено: 04.06.2024
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none no partial 2.0.3 23.04.2024

CVE Program Container

Обновлено: 01.08.2024
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.

Ссылки

https://www.oracle.com/security-alerts/cpuapr2024.html
https://lists.debian.org/debian-lts-announce/2024/04/msg00014.html
https://security.netapp.com/advisory/ntap-20240426-0004/
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.