BDU:2015-10353: Уязвимость средства автоматизации процесса хранения данных OnCommand Workflow Automation, позволяющая нарушителю выполнить произвольный код
Детали уязвимости BDU:2015-10353
Описание
Инсталлятор средства автоматизации процесса хранения данных OnCommand Workflow Automation устанавливает службу JDWP (Java Debugging Wire Protocol), которая позволяет нарушителю, действующему удалённо, выполнить произвольный код посредством неопределённого вектора
Что делать с BDU:2015-10353
Критическая уязвимость (CVSS 10.0) требует немедленного реагирования. По приказу ФСТЭК №117 срок устранения — 24 часа. Проверьте наличие патча у вендора и установите его на все затронутые системы. При невозможности патча — изолируйте уязвимый компонент и примените компенсирующие меры.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:N/AC:L/Au:N/C:C/I:C/A:CCWE — тип уязвимости
CVE — международный идентификатор
Тактики и техники
Уязвимое ПО (2)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| NetApp Inc. | OnCommand Workflow Automation | до 2.2.1P1 | Не указана |
| NetApp Inc. | OnCommand Workflow Automation | до 3.0P1 | Не указана |
Рекомендации по устранению
Обновление программного обеспечения до версий 2.2.1P1, 3.0P1 или более новых
SLA ФСТЭК №117
24 часа
по базовой оценке CVSS 10.0
Threat Intelligence
SSVC: Приоритетное устранение
Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.
Вероятность эксплуатации в 30 дней (FIRST EPSS)
Информация
Обнаружена
2015-05-31
Опубликована
2015-06-18
Обновлена
2021-03-23
Эксплойт
Данные уточняются
Исправление
Уязвимость устранена
Статус
Подтверждена производителем
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Связанные уязвимости
BDU:2024-06287Уязвимость компонента 2D виртуальных машин Oracle GraalVM Enterprise Edition, Oracle GraalVM for JDK и программной платф
BDU:2024-06288Уязвимость компонента Hotspot виртуальных машин Oracle GraalVM Enterprise Edition, Oracle GraalVM for JDK и программной
BDU:2024-06283Уязвимость компонента Hotspot виртуальных машин Oracle GraalVM Enterprise Edition, Oracle GraalVM for JDK и программной
BDU:2024-06285Уязвимость компонента Concurrency виртуальных машин Oracle GraalVM Enterprise Edition и программной платформы Oracle Jav
BDU:2024-03417Уязвимость компонента Server: Information Schema системы управления базами данных Oracle MySQL Server, позволяющая наруш
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.