Все бюллетени/p10/ALT-PU-2023-6353-2
ALT-PU-2023-6353-2

Обновление пакета scala в ветке p10

Версия2.13.9-alt0.p10.1
Задание#330092
Опубликовано2023-10-22
Макс. серьёзностьCRITICAL
Серьёзность:

Закрытые проблемы (2)

BDU:2023-00169
CRITICAL9.8

Уязвимость интерпретатора языка программирования Scala, связанная с ошибками при десериализации данных, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2023-01-17Изменено: 2023-01-18
CVSS 3.xКРИТИЧЕСКАЯ 9.8
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 10.0
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C
Ссылки
CVE-2022-36944
CRITICAL9.8

Scala 2.13.x before 2.13.9 has a Java deserialization chain in its JAR file. On its own, it cannot be exploited. There is only a risk in conjunction with Java object deserialization within an application. In such situations, it allows attackers to erase contents of arbitrary files, make network connections, or possibly run arbitrary code (specifically, Function0 functions) via a gadget chain.

Опубликовано: 2022-09-23Изменено: 2025-05-27
CVSS 3.xКРИТИЧЕСКАЯ 9.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки