cvelistv5 - CVE-2022-31147

CVE-2022-31147 (GCVE-0-2022-31147)

Vulnerability from cvelistv5 – Published: 2022-07-14 19:30 – Updated: 2025-04-23 18:02

Summary

The jQuery Validation Plugin (jquery-validation) provides drop-in validation for forms. Versions of jquery-validation prior to 1.19.5 are vulnerable to regular expression denial of service (ReDoS) when an attacker is able to supply arbitrary input to the url2 method. This is due to an incomplete fix for CVE-2021-43306. Users should upgrade to version 1.19.5 to receive a patch.

Severity ?

7.5 (High)


                        
                          CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CWE

CWE-1333 - Inefficient Regular Expression Complexity

Assigner

GitHub_M

References

URL

Tags

	https://github.com/jquery-validation/jquery-valid…	x_refsource_CONFIRM
	https://github.com/jquery-validation/jquery-valid…	x_refsource_MISC
	https://github.com/jquery-validation/jquery-valid…	x_refsource_MISC

Impacted products

	Vendor	Product	Version
	jquery-validation	jquery-validation	Affected: < 1.19.5

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-03T07:11:39.665Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "x_refsource_CONFIRM",
              "x_transferred"
            ],
            "url": "https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3"
          },
          {
            "tags": [
              "x_refsource_MISC",
              "x_transferred"
            ],
            "url": "https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd"
          },
          {
            "tags": [
              "x_refsource_MISC",
              "x_transferred"
            ],
            "url": "https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2022-31147",
                "options": [
                  {
                    "Exploitation": "none"
                  },
                  {
                    "Automatable": "yes"
                  },
                  {
                    "Technical Impact": "partial"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2025-04-23T15:53:30.070366Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2025-04-23T18:02:09.780Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "product": "jquery-validation",
          "vendor": "jquery-validation",
          "versions": [
            {
              "status": "affected",
              "version": "\u003c 1.19.5"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "The jQuery Validation Plugin (jquery-validation) provides drop-in validation for forms. Versions of jquery-validation prior to 1.19.5 are vulnerable to regular expression denial of service (ReDoS) when an attacker is able to supply arbitrary input to the url2 method. This is due to an incomplete fix for CVE-2021-43306. Users should upgrade to version 1.19.5 to receive a patch."
        }
      ],
      "metrics": [
        {
          "cvssV3_1": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "HIGH",
            "baseScore": 7.5,
            "baseSeverity": "HIGH",
            "confidentialityImpact": "NONE",
            "integrityImpact": "NONE",
            "privilegesRequired": "NONE",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
            "version": "3.1"
          }
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "cweId": "CWE-1333",
              "description": "CWE-1333: Inefficient Regular Expression Complexity",
              "lang": "en",
              "type": "CWE"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2022-07-14T19:30:14.000Z",
        "orgId": "a0819718-46f1-4df5-94e2-005712e83aaa",
        "shortName": "GitHub_M"
      },
      "references": [
        {
          "tags": [
            "x_refsource_CONFIRM"
          ],
          "url": "https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3"
        },
        {
          "tags": [
            "x_refsource_MISC"
          ],
          "url": "https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd"
        },
        {
          "tags": [
            "x_refsource_MISC"
          ],
          "url": "https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5"
        }
      ],
      "source": {
        "advisory": "GHSA-ffmh-x56j-9rc3",
        "discovery": "UNKNOWN"
      },
      "title": "jquery-validation ReDoS in url2 due to incomplete fix of CVE-2021-43306",
      "x_legacyV4Record": {
        "CVE_data_meta": {
          "ASSIGNER": "security-advisories@github.com",
          "ID": "CVE-2022-31147",
          "STATE": "PUBLIC",
          "TITLE": "jquery-validation ReDoS in url2 due to incomplete fix of CVE-2021-43306"
        },
        "affects": {
          "vendor": {
            "vendor_data": [
              {
                "product": {
                  "product_data": [
                    {
                      "product_name": "jquery-validation",
                      "version": {
                        "version_data": [
                          {
                            "version_value": "\u003c 1.19.5"
                          }
                        ]
                      }
                    }
                  ]
                },
                "vendor_name": "jquery-validation"
              }
            ]
          }
        },
        "data_format": "MITRE",
        "data_type": "CVE",
        "data_version": "4.0",
        "description": {
          "description_data": [
            {
              "lang": "eng",
              "value": "The jQuery Validation Plugin (jquery-validation) provides drop-in validation for forms. Versions of jquery-validation prior to 1.19.5 are vulnerable to regular expression denial of service (ReDoS) when an attacker is able to supply arbitrary input to the url2 method. This is due to an incomplete fix for CVE-2021-43306. Users should upgrade to version 1.19.5 to receive a patch."
            }
          ]
        },
        "impact": {
          "cvss": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "HIGH",
            "baseScore": 7.5,
            "baseSeverity": "HIGH",
            "confidentialityImpact": "NONE",
            "integrityImpact": "NONE",
            "privilegesRequired": "NONE",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
            "version": "3.1"
          }
        },
        "problemtype": {
          "problemtype_data": [
            {
              "description": [
                {
                  "lang": "eng",
                  "value": "CWE-1333: Inefficient Regular Expression Complexity"
                }
              ]
            }
          ]
        },
        "references": {
          "reference_data": [
            {
              "name": "https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3",
              "refsource": "CONFIRM",
              "url": "https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3"
            },
            {
              "name": "https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd",
              "refsource": "MISC",
              "url": "https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd"
            },
            {
              "name": "https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5",
              "refsource": "MISC",
              "url": "https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5"
            }
          ]
        },
        "source": {
          "advisory": "GHSA-ffmh-x56j-9rc3",
          "discovery": "UNKNOWN"
        }
      }
    }
  },
  "cveMetadata": {
    "assignerOrgId": "a0819718-46f1-4df5-94e2-005712e83aaa",
    "assignerShortName": "GitHub_M",
    "cveId": "CVE-2022-31147",
    "datePublished": "2022-07-14T19:30:14.000Z",
    "dateReserved": "2022-05-18T00:00:00.000Z",
    "dateUpdated": "2025-04-23T18:02:09.780Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1",
  "vulnerability-lookup:meta": {
    "fkie_nvd": {
      "configurations": "[{\"nodes\": [{\"operator\": \"OR\", \"negate\": false, \"cpeMatch\": [{\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:jqueryvalidation:jquery_validation:*:*:*:*:*:node.js:*:*\", \"versionEndExcluding\": \"1.19.5\", \"matchCriteriaId\": \"AF8AFEDC-6BEB-4434-888A-4A6D4FC39BBD\"}]}]}]",
      "descriptions": "[{\"lang\": \"en\", \"value\": \"The jQuery Validation Plugin (jquery-validation) provides drop-in validation for forms. Versions of jquery-validation prior to 1.19.5 are vulnerable to regular expression denial of service (ReDoS) when an attacker is able to supply arbitrary input to the url2 method. This is due to an incomplete fix for CVE-2021-43306. Users should upgrade to version 1.19.5 to receive a patch.\"}, {\"lang\": \"es\", \"value\": \"El plugin de comprobaci\\u00f3n de jQuery (jquery-validation) proporciona una comprobaci\\u00f3n directa para formularios. Las versiones de jquery-validation anteriores a 1.19.5 son vulnerables a una denegaci\\u00f3n de servicio por expresi\\u00f3n regular (ReDoS) cuando un atacante es capaz de suministrar una entrada arbitraria al m\\u00e9todo url2. Esto es debido a una correcci\\u00f3n incompleta de CVE-2021-43306. Los usuarios deben actualizar a versi\\u00f3n 1.19.5 para recibir el parche\"}]",
      "id": "CVE-2022-31147",
      "lastModified": "2024-11-21T07:03:59.793",
      "metrics": "{\"cvssMetricV31\": [{\"source\": \"security-advisories@github.com\", \"type\": \"Secondary\", \"cvssData\": {\"version\": \"3.1\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H\", \"baseScore\": 7.5, \"baseSeverity\": \"HIGH\", \"attackVector\": \"NETWORK\", \"attackComplexity\": \"LOW\", \"privilegesRequired\": \"NONE\", \"userInteraction\": \"NONE\", \"scope\": \"UNCHANGED\", \"confidentialityImpact\": \"NONE\", \"integrityImpact\": \"NONE\", \"availabilityImpact\": \"HIGH\"}, \"exploitabilityScore\": 3.9, \"impactScore\": 3.6}, {\"source\": \"nvd@nist.gov\", \"type\": \"Primary\", \"cvssData\": {\"version\": \"3.1\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H\", \"baseScore\": 7.5, \"baseSeverity\": \"HIGH\", \"attackVector\": \"NETWORK\", \"attackComplexity\": \"LOW\", \"privilegesRequired\": \"NONE\", \"userInteraction\": \"NONE\", \"scope\": \"UNCHANGED\", \"confidentialityImpact\": \"NONE\", \"integrityImpact\": \"NONE\", \"availabilityImpact\": \"HIGH\"}, \"exploitabilityScore\": 3.9, \"impactScore\": 3.6}]}",
      "published": "2022-07-14T20:15:08.483",
      "references": "[{\"url\": \"https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd\", \"source\": \"security-advisories@github.com\", \"tags\": [\"Patch\", \"Third Party Advisory\"]}, {\"url\": \"https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5\", \"source\": \"security-advisories@github.com\", \"tags\": [\"Release Notes\", \"Third Party Advisory\"]}, {\"url\": \"https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3\", \"source\": \"security-advisories@github.com\", \"tags\": [\"Third Party Advisory\"]}, {\"url\": \"https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Patch\", \"Third Party Advisory\"]}, {\"url\": \"https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Release Notes\", \"Third Party Advisory\"]}, {\"url\": \"https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Third Party Advisory\"]}]",
      "sourceIdentifier": "security-advisories@github.com",
      "vulnStatus": "Modified",
      "weaknesses": "[{\"source\": \"security-advisories@github.com\", \"type\": \"Secondary\", \"description\": [{\"lang\": \"en\", \"value\": \"CWE-1333\"}]}, {\"source\": \"nvd@nist.gov\", \"type\": \"Primary\", \"description\": [{\"lang\": \"en\", \"value\": \"CWE-1333\"}]}]"
    },
    "nvd": "{\"cve\":{\"id\":\"CVE-2022-31147\",\"sourceIdentifier\":\"security-advisories@github.com\",\"published\":\"2022-07-14T20:15:08.483\",\"lastModified\":\"2024-11-21T07:03:59.793\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"The jQuery Validation Plugin (jquery-validation) provides drop-in validation for forms. Versions of jquery-validation prior to 1.19.5 are vulnerable to regular expression denial of service (ReDoS) when an attacker is able to supply arbitrary input to the url2 method. This is due to an incomplete fix for CVE-2021-43306. Users should upgrade to version 1.19.5 to receive a patch.\"},{\"lang\":\"es\",\"value\":\"El plugin de comprobaci\u00f3n de jQuery (jquery-validation) proporciona una comprobaci\u00f3n directa para formularios. Las versiones de jquery-validation anteriores a 1.19.5 son vulnerables a una denegaci\u00f3n de servicio por expresi\u00f3n regular (ReDoS) cuando un atacante es capaz de suministrar una entrada arbitraria al m\u00e9todo url2. Esto es debido a una correcci\u00f3n incompleta de CVE-2021-43306. Los usuarios deben actualizar a versi\u00f3n 1.19.5 para recibir el parche\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"security-advisories@github.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H\",\"baseScore\":7.5,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"NONE\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":3.9,\"impactScore\":3.6},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H\",\"baseScore\":7.5,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"NONE\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":3.9,\"impactScore\":3.6}]},\"weaknesses\":[{\"source\":\"security-advisories@github.com\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-1333\"}]},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-1333\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:jqueryvalidation:jquery_validation:*:*:*:*:*:node.js:*:*\",\"versionEndExcluding\":\"1.19.5\",\"matchCriteriaId\":\"AF8AFEDC-6BEB-4434-888A-4A6D4FC39BBD\"}]}]}],\"references\":[{\"url\":\"https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd\",\"source\":\"security-advisories@github.com\",\"tags\":[\"Patch\",\"Third Party Advisory\"]},{\"url\":\"https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5\",\"source\":\"security-advisories@github.com\",\"tags\":[\"Release Notes\",\"Third Party Advisory\"]},{\"url\":\"https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3\",\"source\":\"security-advisories@github.com\",\"tags\":[\"Third Party Advisory\"]},{\"url\":\"https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Patch\",\"Third Party Advisory\"]},{\"url\":\"https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Release Notes\",\"Third Party Advisory\"]},{\"url\":\"https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Third Party Advisory\"]}]}}",
    "vulnrichment": {
      "containers": "{\"adp\": [{\"title\": \"CVE Program Container\", \"references\": [{\"url\": \"https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3\", \"tags\": [\"x_refsource_CONFIRM\", \"x_transferred\"]}, {\"url\": \"https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd\", \"tags\": [\"x_refsource_MISC\", \"x_transferred\"]}, {\"url\": \"https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5\", \"tags\": [\"x_refsource_MISC\", \"x_transferred\"]}], \"providerMetadata\": {\"orgId\": \"af854a3a-2127-422b-91ae-364da2661108\", \"shortName\": \"CVE\", \"dateUpdated\": \"2024-08-03T07:11:39.665Z\"}}, {\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2022-31147\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"yes\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2025-04-23T15:53:30.070366Z\"}}}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2025-04-23T15:53:31.587Z\"}}], \"cna\": {\"title\": \"jquery-validation ReDoS in url2 due to incomplete fix of CVE-2021-43306\", \"source\": {\"advisory\": \"GHSA-ffmh-x56j-9rc3\", \"discovery\": \"UNKNOWN\"}, \"metrics\": [{\"cvssV3_1\": {\"scope\": \"UNCHANGED\", \"version\": \"3.1\", \"baseScore\": 7.5, \"attackVector\": \"NETWORK\", \"baseSeverity\": \"HIGH\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H\", \"integrityImpact\": \"NONE\", \"userInteraction\": \"NONE\", \"attackComplexity\": \"LOW\", \"availabilityImpact\": \"HIGH\", \"privilegesRequired\": \"NONE\", \"confidentialityImpact\": \"NONE\"}}], \"affected\": [{\"vendor\": \"jquery-validation\", \"product\": \"jquery-validation\", \"versions\": [{\"status\": \"affected\", \"version\": \"\u003c 1.19.5\"}]}], \"references\": [{\"url\": \"https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3\", \"tags\": [\"x_refsource_CONFIRM\"]}, {\"url\": \"https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd\", \"tags\": [\"x_refsource_MISC\"]}, {\"url\": \"https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5\", \"tags\": [\"x_refsource_MISC\"]}], \"descriptions\": [{\"lang\": \"en\", \"value\": \"The jQuery Validation Plugin (jquery-validation) provides drop-in validation for forms. Versions of jquery-validation prior to 1.19.5 are vulnerable to regular expression denial of service (ReDoS) when an attacker is able to supply arbitrary input to the url2 method. This is due to an incomplete fix for CVE-2021-43306. Users should upgrade to version 1.19.5 to receive a patch.\"}], \"problemTypes\": [{\"descriptions\": [{\"lang\": \"en\", \"type\": \"CWE\", \"cweId\": \"CWE-1333\", \"description\": \"CWE-1333: Inefficient Regular Expression Complexity\"}]}], \"providerMetadata\": {\"orgId\": \"a0819718-46f1-4df5-94e2-005712e83aaa\", \"shortName\": \"GitHub_M\", \"dateUpdated\": \"2022-07-14T19:30:14.000Z\"}, \"x_legacyV4Record\": {\"impact\": {\"cvss\": {\"scope\": \"UNCHANGED\", \"version\": \"3.1\", \"baseScore\": 7.5, \"attackVector\": \"NETWORK\", \"baseSeverity\": \"HIGH\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H\", \"integrityImpact\": \"NONE\", \"userInteraction\": \"NONE\", \"attackComplexity\": \"LOW\", \"availabilityImpact\": \"HIGH\", \"privilegesRequired\": \"NONE\", \"confidentialityImpact\": \"NONE\"}}, \"source\": {\"advisory\": \"GHSA-ffmh-x56j-9rc3\", \"discovery\": \"UNKNOWN\"}, \"affects\": {\"vendor\": {\"vendor_data\": [{\"product\": {\"product_data\": [{\"version\": {\"version_data\": [{\"version_value\": \"\u003c 1.19.5\"}]}, \"product_name\": \"jquery-validation\"}]}, \"vendor_name\": \"jquery-validation\"}]}}, \"data_type\": \"CVE\", \"references\": {\"reference_data\": [{\"url\": \"https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3\", \"name\": \"https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3\", \"refsource\": \"CONFIRM\"}, {\"url\": \"https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd\", \"name\": \"https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd\", \"refsource\": \"MISC\"}, {\"url\": \"https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5\", \"name\": \"https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5\", \"refsource\": \"MISC\"}]}, \"data_format\": \"MITRE\", \"description\": {\"description_data\": [{\"lang\": \"eng\", \"value\": \"The jQuery Validation Plugin (jquery-validation) provides drop-in validation for forms. Versions of jquery-validation prior to 1.19.5 are vulnerable to regular expression denial of service (ReDoS) when an attacker is able to supply arbitrary input to the url2 method. This is due to an incomplete fix for CVE-2021-43306. Users should upgrade to version 1.19.5 to receive a patch.\"}]}, \"problemtype\": {\"problemtype_data\": [{\"description\": [{\"lang\": \"eng\", \"value\": \"CWE-1333: Inefficient Regular Expression Complexity\"}]}]}, \"data_version\": \"4.0\", \"CVE_data_meta\": {\"ID\": \"CVE-2022-31147\", \"STATE\": \"PUBLIC\", \"TITLE\": \"jquery-validation ReDoS in url2 due to incomplete fix of CVE-2021-43306\", \"ASSIGNER\": \"security-advisories@github.com\"}}}}",
      "cveMetadata": "{\"cveId\": \"CVE-2022-31147\", \"state\": \"PUBLISHED\", \"dateUpdated\": \"2025-04-23T18:02:09.780Z\", \"dateReserved\": \"2022-05-18T00:00:00.000Z\", \"assignerOrgId\": \"a0819718-46f1-4df5-94e2-005712e83aaa\", \"datePublished\": \"2022-07-14T19:30:14.000Z\", \"assignerShortName\": \"GitHub_M\"}",
      "dataType": "CVE_RECORD",
      "dataVersion": "5.1"
    }
  }
}

WID-SEC-W-2024-0107

Vulnerability from csaf_certbund - Published: 2024-01-16 23:00 - Updated: 2024-01-16 23:00

Summary

Oracle Communications Applications: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

Communications Applications umfasst eine Sammlung von Werkzeugen zur Verwaltung von Messaging-, Kommunikationsdiensten und -ressourcen.

Angriff

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Oracle Communications Applications ausnutzen, um die Vertraulichkeit, Integrität und Verfügbarkeit zu gefährden.

Betroffene Betriebssysteme

- UNIX - Linux - Windows

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Communications Applications umfasst eine Sammlung von Werkzeugen zur Verwaltung von Messaging-, Kommunikationsdiensten und -ressourcen.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Oracle Communications Applications ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0107 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0107.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0107 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0107"
      },
      {
        "category": "external",
        "summary": "Oracle Critical Patch Update Advisory - January 2024 - Appendix Oracle Communications Applications vom 2024-01-16",
        "url": "https://www.oracle.com/security-alerts/cpujan2024.html#AppendixCAGBU"
      }
    ],
    "source_lang": "en-US",
    "title": "Oracle Communications Applications: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-01-16T23:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:03:44.309+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0107",
      "initial_release_date": "2024-01-16T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-01-16T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 7.4.0",
                "product": {
                  "name": "Oracle Communications Applications 7.4.0",
                  "product_id": "T018938",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:7.4.0"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 7.4.1",
                "product": {
                  "name": "Oracle Communications Applications 7.4.1",
                  "product_id": "T018939",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:7.4.1"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 7.4.2",
                "product": {
                  "name": "Oracle Communications Applications 7.4.2",
                  "product_id": "T018940",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:7.4.2"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 6.0.1.0.0",
                "product": {
                  "name": "Oracle Communications Applications 6.0.1.0.0",
                  "product_id": "T021634",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:6.0.1.0.0"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 7.5.0",
                "product": {
                  "name": "Oracle Communications Applications 7.5.0",
                  "product_id": "T021639",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:7.5.0"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 7.4",
                "product": {
                  "name": "Oracle Communications Applications 7.4",
                  "product_id": "T022811",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:7.4"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications \u003c= 12.0.6.0.0",
                "product": {
                  "name": "Oracle Communications Applications \u003c= 12.0.6.0.0",
                  "product_id": "T027325",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:12.0.6.0.0"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications \u003c= 12.0.0.8.0",
                "product": {
                  "name": "Oracle Communications Applications \u003c= 12.0.0.8.0",
                  "product_id": "T028669",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:12.0.0.8.0"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 3.0.3.2",
                "product": {
                  "name": "Oracle Communications Applications 3.0.3.2",
                  "product_id": "T028670",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:3.0.3.2"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 10.0.1.7.0",
                "product": {
                  "name": "Oracle Communications Applications 10.0.1.7.0",
                  "product_id": "T028674",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:10.0.1.7.0"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 7.4.0.7.0",
                "product": {
                  "name": "Oracle Communications Applications 7.4.0.7.0",
                  "product_id": "T028676",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:7.4.0.7.0"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 7.4.1.5.0",
                "product": {
                  "name": "Oracle Communications Applications 7.4.1.5.0",
                  "product_id": "T028677",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:7.4.1.5.0"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 7.4.2.8.0",
                "product": {
                  "name": "Oracle Communications Applications 7.4.2.8.0",
                  "product_id": "T028678",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:7.4.2.8.0"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 6.3.1.0.0",
                "product": {
                  "name": "Oracle Communications Applications 6.3.1.0.0",
                  "product_id": "T030578",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:6.3.1.0.0"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications \u003c= 12.0.0.8",
                "product": {
                  "name": "Oracle Communications Applications \u003c= 12.0.0.8",
                  "product_id": "T030579",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:12.0.0.8"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications \u003c= 6.0.3",
                "product": {
                  "name": "Oracle Communications Applications \u003c= 6.0.3",
                  "product_id": "T030581",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:6.0.3"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications \u003c= 12.0.0.7",
                "product": {
                  "name": "Oracle Communications Applications \u003c= 12.0.0.7",
                  "product_id": "T032083",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:12.0.0.7"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 15.0.0.0.0",
                "product": {
                  "name": "Oracle Communications Applications 15.0.0.0.0",
                  "product_id": "T032084",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:15.0.0.0.0"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 3.0.3.3",
                "product": {
                  "name": "Oracle Communications Applications 3.0.3.3",
                  "product_id": "T032085",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:3.0.3.3"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications 8.1.0.24.0",
                "product": {
                  "name": "Oracle Communications Applications 8.1.0.24.0",
                  "product_id": "T032086",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:8.1.0.24.0"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Oracle Communications Applications \u003c= 5.5.19",
                "product": {
                  "name": "Oracle Communications Applications \u003c= 5.5.19",
                  "product_id": "T032087",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:oracle:communications_applications:5.5.19"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "Communications Applications"
          }
        ],
        "category": "vendor",
        "name": "Oracle"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-5072",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-5072"
    },
    {
      "cve": "CVE-2023-45648",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-45648"
    },
    {
      "cve": "CVE-2023-44981",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-44981"
    },
    {
      "cve": "CVE-2023-44487",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-44487"
    },
    {
      "cve": "CVE-2023-44483",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-44483"
    },
    {
      "cve": "CVE-2023-42794",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-42794"
    },
    {
      "cve": "CVE-2023-42503",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-42503"
    },
    {
      "cve": "CVE-2023-37536",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-37536"
    },
    {
      "cve": "CVE-2023-34981",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-34981"
    },
    {
      "cve": "CVE-2023-34034",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-34034"
    },
    {
      "cve": "CVE-2023-33201",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-33201"
    },
    {
      "cve": "CVE-2023-31122",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-31122"
    },
    {
      "cve": "CVE-2023-2976",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-2976"
    },
    {
      "cve": "CVE-2023-28823",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-28823"
    },
    {
      "cve": "CVE-2023-25194",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-25194"
    },
    {
      "cve": "CVE-2023-20883",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2023-20883"
    },
    {
      "cve": "CVE-2022-45868",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2022-45868"
    },
    {
      "cve": "CVE-2022-42920",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2022-42920"
    },
    {
      "cve": "CVE-2022-36944",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2022-36944"
    },
    {
      "cve": "CVE-2022-31160",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2022-31160"
    },
    {
      "cve": "CVE-2022-31147",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2022-31147"
    },
    {
      "cve": "CVE-2022-1471",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2022-1471"
    },
    {
      "cve": "CVE-2021-4104",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2021-4104"
    },
    {
      "cve": "CVE-2021-37533",
      "notes": [
        {
          "category": "description",
          "text": "In Oracle Communications Applications existieren mehrere Schwachstellen. Durch Ausnutzung dieser Schwachstellen kann ein entfernter, anonymer Angreifer die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit gef\u00e4hrden. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keine Benutzerinteraktion notwendig. Oracle ver\u00f6ffentlicht keine weiteren Details zu diesen Schwachstellen (au\u00dfer der Information in der Risiko Matrix im Oracle Advisory zum Critical Patch Update, siehe Link unten in diesem Advisory). Aufgrund der knappen Informationslage erfolgt die Bewertung der Schadensh\u00f6he ausschlie\u00dflich auf Basis der CVSS Impact Matrix. Der Maximalwert f\u00fcr diese Produkte ist \"HIGH\" f\u00fcr \"Confidentiality\", \"Integrity\" und \"Availability\" \u00fcber alle Schwachstellen aggregiert und bewirkt damit eine Bewertung mit dem Wert \"HOCH\" f\u00fcr die Schadensh\u00f6he."
        }
      ],
      "product_status": {
        "known_affected": [
          "T028670",
          "T030578",
          "T032085",
          "T032086",
          "T021639",
          "T032084",
          "T022811",
          "T018940",
          "T021634",
          "T028677",
          "T018938",
          "T028678",
          "T018939",
          "T028676",
          "T028674"
        ],
        "last_affected": [
          "T030579",
          "T028669",
          "T032083",
          "T027325",
          "T030581",
          "T032087"
        ]
      },
      "release_date": "2024-01-16T23:00:00.000+00:00",
      "title": "CVE-2021-37533"
    }
  ]
}

WID-SEC-W-2024-1590

Vulnerability from csaf_certbund - Published: 2024-07-10 22:00 - Updated: 2024-12-18 23:00

Summary

HCL BigFix: Mehrere Schwachstellen

Notes

Produktbeschreibung

BigFix ist eine Lösung zum Erkennen und Verwalten von physischen und virtuellen Endpunkten.

Angriff

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in HCL BigFix ausnutzen, um einen Denial of Service Angriff durchzuführen, ertrauliche Informationen preiszugeben, Daten zu manipulieren und Sicherheitsmaßnahmen zu umgehen.

Betroffene Betriebssysteme

- Sonstiges - UNIX - Windows

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "BigFix ist eine L\u00f6sung zum Erkennen und Verwalten von physischen und virtuellen Endpunkten.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in HCL BigFix ausnutzen, um einen Denial of Service Angriff durchzuf\u00fchren, ertrauliche Informationen preiszugeben, Daten zu manipulieren und Sicherheitsma\u00dfnahmen zu umgehen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Sonstiges\n- UNIX\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-1590 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1590.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-1590 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1590"
      },
      {
        "category": "external",
        "summary": "HCL Security Bulletin vom 2024-07-10",
        "url": "https://support.hcltechsw.com/community?id=community_blog\u0026sys_id=41c2808e1b930ad0534c4159cc4bcba7"
      },
      {
        "category": "external",
        "summary": "HCL Security Bulletin vom 2024-07-10",
        "url": "https://support.hcltechsw.com/community?id=community_blog\u0026sys_id=944daab91b1786d0534c4159cc4bcb58"
      },
      {
        "category": "external",
        "summary": "HCL Security Bulletin vom 2024-07-10",
        "url": "https://support.hcltechsw.com/community?id=community_blog\u0026sys_id=cef753bd1bd3c6d0534c4159cc4bcbaa"
      },
      {
        "category": "external",
        "summary": "HCL Security Bulletin vom 2024-07-10",
        "url": "https://support.hcltechsw.com/csm?id=kb_article\u0026sysparm_article=KB0114657"
      },
      {
        "category": "external",
        "summary": "HCL Article KB0114591 vom 2024-07-28",
        "url": "https://support.hcltechsw.com/csm?id=kb_article\u0026sysparm_article=KB0114591"
      },
      {
        "category": "external",
        "summary": "HCL Security Bulletin vom 2024-12-18",
        "url": "https://support.hcl-software.com/community?id=community_blog\u0026sys_id=1af3c435fb2216d0db10f2797befdc15"
      }
    ],
    "source_lang": "en-US",
    "title": "HCL BigFix: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-12-18T23:00:00.000+00:00",
      "generator": {
        "date": "2024-12-19T09:14:43.596+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.10"
        }
      },
      "id": "WID-SEC-W-2024-1590",
      "initial_release_date": "2024-07-10T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-07-10T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        },
        {
          "date": "2024-07-28T22:00:00.000+00:00",
          "number": "2",
          "summary": "Neue Updates von HCL aufgenommen"
        },
        {
          "date": "2024-12-18T23:00:00.000+00:00",
          "number": "3",
          "summary": "Neue Updates aufgenommen"
        }
      ],
      "status": "final",
      "version": "3"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_version",
                "name": "WebUI",
                "product": {
                  "name": "HCL BigFix WebUI",
                  "product_id": "T023767",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:hcltech:bigfix:webui"
                  }
                }
              },
              {
                "category": "product_version_range",
                "name": "Query \u003c4.7.0",
                "product": {
                  "name": "HCL BigFix Query \u003c4.7.0",
                  "product_id": "T036096"
                }
              },
              {
                "category": "product_version",
                "name": "Query 4.7.0",
                "product": {
                  "name": "HCL BigFix Query 4.7.0",
                  "product_id": "T036096-fixed",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:hcltech:bigfix:query__4.7.0"
                  }
                }
              },
              {
                "category": "product_version_range",
                "name": "PM \u003c84",
                "product": {
                  "name": "HCL BigFix PM \u003c84",
                  "product_id": "T036097"
                }
              },
              {
                "category": "product_version",
                "name": "PM 84",
                "product": {
                  "name": "HCL BigFix PM 84",
                  "product_id": "T036097-fixed",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:hcltech:bigfix:pm__84"
                  }
                }
              },
              {
                "category": "product_version",
                "name": "WebUI",
                "product": {
                  "name": "HCL BigFix WebUI",
                  "product_id": "T036098",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:hcltech:bigfix:webui"
                  }
                }
              },
              {
                "category": "product_version",
                "name": "Server Automation",
                "product": {
                  "name": "HCL BigFix Server Automation",
                  "product_id": "T039915",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:hcltech:bigfix:server_automation"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "BigFix"
          }
        ],
        "category": "vendor",
        "name": "HCL"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2024-33883",
      "notes": [
        {
          "category": "description",
          "text": "Es besteht eine Schwachstelle in HCL BigFix WebUI-Sites. Diese Fehler besteht, weil die eingebetteten JavaScript-Vorlagen aufgrund des Fehlens eines bestimmten Verschmutzungsschutzes anf\u00e4llig sind. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen preiszugeben, Dateien zu manipulieren und einen Denial-of-Service-Zustand zu erzeugen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T036096",
          "T036097",
          "T039915",
          "T023767",
          "T036098"
        ]
      },
      "release_date": "2024-07-10T22:00:00.000+00:00",
      "title": "CVE-2024-33883"
    },
    {
      "cve": "CVE-2023-42282",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in HCL BigFix Query. Diese Fehler bestehen aufgrund einer unsachgem\u00e4\u00dfen Kategorisierung bestimmter IP-Adressen in Node.js und aufgrund einer unsachgem\u00e4\u00dfen Kodierung der vom Benutzer bereitgestellten URLs im Express.js-Framework. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen"
        }
      ],
      "product_status": {
        "known_affected": [
          "T036096",
          "T039915",
          "T023767"
        ]
      },
      "release_date": "2024-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-42282"
    },
    {
      "cve": "CVE-2024-29041",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in HCL BigFix Query. Diese Fehler bestehen aufgrund einer unsachgem\u00e4\u00dfen Kategorisierung bestimmter IP-Adressen in Node.js und aufgrund einer unsachgem\u00e4\u00dfen Kodierung der vom Benutzer bereitgestellten URLs im Express.js-Framework. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen"
        }
      ],
      "product_status": {
        "known_affected": [
          "T036096",
          "T039915",
          "T023767"
        ]
      },
      "release_date": "2024-07-10T22:00:00.000+00:00",
      "title": "CVE-2024-29041"
    },
    {
      "cve": "CVE-2021-43306",
      "notes": [
        {
          "category": "description",
          "text": "Es besteht eine Schwachstelle in HCL BigFix Power Management. Diese Fehler besteht aufgrund der unsachgem\u00e4\u00dfen Eingabevalidierung im jQuery Validation Plugin. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Regular Expression Denial of Service (ReDoS) zu erzeugen, indem er eine beliebige Eingabe an die url2-Methode sendet. Die Sicherheitsl\u00fccke CVE-2022-31147 besteht aufgrund der unvollst\u00e4ndigen Behebung von CVE-2021-43306."
        }
      ],
      "product_status": {
        "known_affected": [
          "T036096",
          "T036097",
          "T039915",
          "T023767",
          "T036098"
        ]
      },
      "release_date": "2024-07-10T22:00:00.000+00:00",
      "title": "CVE-2021-43306"
    },
    {
      "cve": "CVE-2022-31147",
      "notes": [
        {
          "category": "description",
          "text": "Es besteht eine Schwachstelle in HCL BigFix Power Management. Diese Fehler besteht aufgrund der unsachgem\u00e4\u00dfen Eingabevalidierung im jQuery Validation Plugin. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Regular Expression Denial of Service (ReDoS) zu erzeugen, indem er eine beliebige Eingabe an die url2-Methode sendet. Die Sicherheitsl\u00fccke CVE-2022-31147 besteht aufgrund der unvollst\u00e4ndigen Behebung von CVE-2021-43306."
        }
      ],
      "product_status": {
        "known_affected": [
          "T036096",
          "T036097",
          "T039915",
          "T023767",
          "T036098"
        ]
      },
      "release_date": "2024-07-10T22:00:00.000+00:00",
      "title": "CVE-2022-31147"
    }
  ]
}

FKIE_CVE-2022-31147

Vulnerability from fkie_nvd - Published: 2022-07-14 20:15 - Updated: 2024-11-21 07:03

Severity ?

7.5 (High) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
7.5 (High) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Summary

References

URL	Tags
security-advisories@github.com	https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd	Patch, Third Party Advisory
security-advisories@github.com	https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5	Release Notes, Third Party Advisory
security-advisories@github.com	https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3	Third Party Advisory
af854a3a-2127-422b-91ae-364da2661108	https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd	Patch, Third Party Advisory
af854a3a-2127-422b-91ae-364da2661108	https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5	Release Notes, Third Party Advisory
af854a3a-2127-422b-91ae-364da2661108	https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3	Third Party Advisory

Impacted products

	Vendor	Product	Version
	jqueryvalidation	jquery_validation	*

JSON

To clipboard

{
  "configurations": [
    {
      "nodes": [
        {
          "cpeMatch": [
            {
              "criteria": "cpe:2.3:a:jqueryvalidation:jquery_validation:*:*:*:*:*:node.js:*:*",
              "matchCriteriaId": "AF8AFEDC-6BEB-4434-888A-4A6D4FC39BBD",
              "versionEndExcluding": "1.19.5",
              "vulnerable": true
            }
          ],
          "negate": false,
          "operator": "OR"
        }
      ]
    }
  ],
  "cveTags": [],
  "descriptions": [
    {
      "lang": "en",
      "value": "The jQuery Validation Plugin (jquery-validation) provides drop-in validation for forms. Versions of jquery-validation prior to 1.19.5 are vulnerable to regular expression denial of service (ReDoS) when an attacker is able to supply arbitrary input to the url2 method. This is due to an incomplete fix for CVE-2021-43306. Users should upgrade to version 1.19.5 to receive a patch."
    },
    {
      "lang": "es",
      "value": "El plugin de comprobaci\u00f3n de jQuery (jquery-validation) proporciona una comprobaci\u00f3n directa para formularios. Las versiones de jquery-validation anteriores a 1.19.5 son vulnerables a una denegaci\u00f3n de servicio por expresi\u00f3n regular (ReDoS) cuando un atacante es capaz de suministrar una entrada arbitraria al m\u00e9todo url2. Esto es debido a una correcci\u00f3n incompleta de CVE-2021-43306. Los usuarios deben actualizar a versi\u00f3n 1.19.5 para recibir el parche"
    }
  ],
  "id": "CVE-2022-31147",
  "lastModified": "2024-11-21T07:03:59.793",
  "metrics": {
    "cvssMetricV31": [
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "HIGH",
          "baseScore": 7.5,
          "baseSeverity": "HIGH",
          "confidentialityImpact": "NONE",
          "integrityImpact": "NONE",
          "privilegesRequired": "NONE",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
          "version": "3.1"
        },
        "exploitabilityScore": 3.9,
        "impactScore": 3.6,
        "source": "security-advisories@github.com",
        "type": "Secondary"
      },
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "HIGH",
          "baseScore": 7.5,
          "baseSeverity": "HIGH",
          "confidentialityImpact": "NONE",
          "integrityImpact": "NONE",
          "privilegesRequired": "NONE",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
          "version": "3.1"
        },
        "exploitabilityScore": 3.9,
        "impactScore": 3.6,
        "source": "nvd@nist.gov",
        "type": "Primary"
      }
    ]
  },
  "published": "2022-07-14T20:15:08.483",
  "references": [
    {
      "source": "security-advisories@github.com",
      "tags": [
        "Patch",
        "Third Party Advisory"
      ],
      "url": "https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd"
    },
    {
      "source": "security-advisories@github.com",
      "tags": [
        "Release Notes",
        "Third Party Advisory"
      ],
      "url": "https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5"
    },
    {
      "source": "security-advisories@github.com",
      "tags": [
        "Third Party Advisory"
      ],
      "url": "https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Patch",
        "Third Party Advisory"
      ],
      "url": "https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Release Notes",
        "Third Party Advisory"
      ],
      "url": "https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Third Party Advisory"
      ],
      "url": "https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3"
    }
  ],
  "sourceIdentifier": "security-advisories@github.com",
  "vulnStatus": "Modified",
  "weaknesses": [
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-1333"
        }
      ],
      "source": "security-advisories@github.com",
      "type": "Secondary"
    },
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-1333"
        }
      ],
      "source": "nvd@nist.gov",
      "type": "Primary"
    }
  ]
}

GHSA-FFMH-X56J-9RC3

Vulnerability from github – Published: 2022-07-05 22:56 – Updated: 2022-07-22 16:34

Summary

jquery-validation Regular Expression Denial of Service due to arbitrary input to url2 method

Details

Summary

Incomplete fix of CVE-2021-43306: An exponential ReDoS (Regular Expression Denial of Service) can be triggered in the jquery-validation npm package, when an attacker is able to supply arbitrary input to the url2 method.

Severity ?

7.5 (High)


                  
                    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Show details on source website

JSON

To clipboard

{
  "affected": [
    {
      "package": {
        "ecosystem": "npm",
        "name": "jquery-validation"
      },
      "ranges": [
        {
          "events": [
            {
              "introduced": "0"
            },
            {
              "fixed": "1.19.5"
            }
          ],
          "type": "ECOSYSTEM"
        }
      ]
    }
  ],
  "aliases": [
    "CVE-2022-31147"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-1333"
    ],
    "github_reviewed": true,
    "github_reviewed_at": "2022-07-05T22:56:58Z",
    "nvd_published_at": "2022-07-14T20:15:00Z",
    "severity": "HIGH"
  },
  "details": "Summary\n\nIncomplete fix of CVE-2021-43306: An exponential ReDoS (Regular Expression Denial of Service) can be triggered in the jquery-validation npm package, when an attacker is able to supply arbitrary input to the url2 method.",
  "id": "GHSA-ffmh-x56j-9rc3",
  "modified": "2022-07-22T16:34:21Z",
  "published": "2022-07-05T22:56:58Z",
  "references": [
    {
      "type": "WEB",
      "url": "https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3"
    },
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2022-31147"
    },
    {
      "type": "WEB",
      "url": "https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd"
    },
    {
      "type": "PACKAGE",
      "url": "https://github.com/jquery-validation/jquery-validation"
    },
    {
      "type": "WEB",
      "url": "https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
      "type": "CVSS_V3"
    }
  ],
  "summary": "jquery-validation Regular Expression Denial of Service due to arbitrary input to url2 method"
}

GSD-2022-31147

Vulnerability from gsd - Updated: 2023-12-13 01:19

Details

Aliases

CVE-2022-31147

Aliases

CVE-2022-31147

JSON

To clipboard

{
  "GSD": {
    "alias": "CVE-2022-31147",
    "description": "The jQuery Validation Plugin (jquery-validation) provides drop-in validation for forms. Versions of jquery-validation prior to 1.19.5 are vulnerable to regular expression denial of service (ReDoS) when an attacker is able to supply arbitrary input to the url2 method. This is due to an incomplete fix for CVE-2021-43306. Users should upgrade to version 1.19.5 to receive a patch.",
    "id": "GSD-2022-31147"
  },
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2022-31147"
      ],
      "details": "The jQuery Validation Plugin (jquery-validation) provides drop-in validation for forms. Versions of jquery-validation prior to 1.19.5 are vulnerable to regular expression denial of service (ReDoS) when an attacker is able to supply arbitrary input to the url2 method. This is due to an incomplete fix for CVE-2021-43306. Users should upgrade to version 1.19.5 to receive a patch.",
      "id": "GSD-2022-31147",
      "modified": "2023-12-13T01:19:17.795994Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "security-advisories@github.com",
        "ID": "CVE-2022-31147",
        "STATE": "PUBLIC",
        "TITLE": "jquery-validation ReDoS in url2 due to incomplete fix of CVE-2021-43306"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "jquery-validation",
                    "version": {
                      "version_data": [
                        {
                          "version_value": "\u003c 1.19.5"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "jquery-validation"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "The jQuery Validation Plugin (jquery-validation) provides drop-in validation for forms. Versions of jquery-validation prior to 1.19.5 are vulnerable to regular expression denial of service (ReDoS) when an attacker is able to supply arbitrary input to the url2 method. This is due to an incomplete fix for CVE-2021-43306. Users should upgrade to version 1.19.5 to receive a patch."
          }
        ]
      },
      "impact": {
        "cvss": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "HIGH",
          "baseScore": 7.5,
          "baseSeverity": "HIGH",
          "confidentialityImpact": "NONE",
          "integrityImpact": "NONE",
          "privilegesRequired": "NONE",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
          "version": "3.1"
        }
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "lang": "eng",
                "value": "CWE-1333: Inefficient Regular Expression Complexity"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3",
            "refsource": "CONFIRM",
            "url": "https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3"
          },
          {
            "name": "https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd",
            "refsource": "MISC",
            "url": "https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd"
          },
          {
            "name": "https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5",
            "refsource": "MISC",
            "url": "https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5"
          }
        ]
      },
      "source": {
        "advisory": "GHSA-ffmh-x56j-9rc3",
        "discovery": "UNKNOWN"
      }
    },
    "nvd.nist.gov": {
      "configurations": {
        "CVE_data_version": "4.0",
        "nodes": [
          {
            "children": [],
            "cpe_match": [
              {
                "cpe23Uri": "cpe:2.3:a:jqueryvalidation:jquery_validation:*:*:*:*:*:node.js:*:*",
                "cpe_name": [],
                "versionEndExcluding": "1.19.5",
                "vulnerable": true
              }
            ],
            "operator": "OR"
          }
        ]
      },
      "cve": {
        "CVE_data_meta": {
          "ASSIGNER": "security-advisories@github.com",
          "ID": "CVE-2022-31147"
        },
        "data_format": "MITRE",
        "data_type": "CVE",
        "data_version": "4.0",
        "description": {
          "description_data": [
            {
              "lang": "en",
              "value": "The jQuery Validation Plugin (jquery-validation) provides drop-in validation for forms. Versions of jquery-validation prior to 1.19.5 are vulnerable to regular expression denial of service (ReDoS) when an attacker is able to supply arbitrary input to the url2 method. This is due to an incomplete fix for CVE-2021-43306. Users should upgrade to version 1.19.5 to receive a patch."
            }
          ]
        },
        "problemtype": {
          "problemtype_data": [
            {
              "description": [
                {
                  "lang": "en",
                  "value": "CWE-1333"
                }
              ]
            }
          ]
        },
        "references": {
          "reference_data": [
            {
              "name": "https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd",
              "refsource": "MISC",
              "tags": [
                "Patch",
                "Third Party Advisory"
              ],
              "url": "https://github.com/jquery-validation/jquery-validation/commit/5bbd80d27fc6b607d2f7f106c89522051a9fb0dd"
            },
            {
              "name": "https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3",
              "refsource": "CONFIRM",
              "tags": [
                "Third Party Advisory"
              ],
              "url": "https://github.com/jquery-validation/jquery-validation/security/advisories/GHSA-ffmh-x56j-9rc3"
            },
            {
              "name": "https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5",
              "refsource": "MISC",
              "tags": [
                "Release Notes",
                "Third Party Advisory"
              ],
              "url": "https://github.com/jquery-validation/jquery-validation/releases/tag/1.19.5"
            }
          ]
        }
      },
      "impact": {
        "baseMetricV3": {
          "cvssV3": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "HIGH",
            "baseScore": 7.5,
            "baseSeverity": "HIGH",
            "confidentialityImpact": "NONE",
            "integrityImpact": "NONE",
            "privilegesRequired": "NONE",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
            "version": "3.1"
          },
          "exploitabilityScore": 3.9,
          "impactScore": 3.6
        }
      },
      "lastModifiedDate": "2023-07-24T13:16Z",
      "publishedDate": "2022-07-14T20:15Z"
    }
  }
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted

CVE-2022-31147 (GCVE-0-2022-31147)

WID-SEC-W-2024-0107

WID-SEC-W-2024-1590

FKIE_CVE-2022-31147

GHSA-FFMH-X56J-9RC3

GSD-2022-31147

Tags

Sightings

Nomenclature