// For flags

CVE-2019-17635

 

Severity Score

7.8
*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

1
*Multiple Sources

Exploited in Wild

-
*KEV

Decision

-
*SSVC
Descriptions

Eclipse Memory Analyzer version 1.9.1 and earlier is subject to a deserialization vulnerability if an index file of a parsed heap dump is replaced by a malicious version and the heap dump is reopened in Memory Analyzer. The user must chose to reopen an already parsed heap dump with an untrusted index for the problem to occur. The problem can be averted if the index files from an untrusted source are deleted and the heap dump is opened and reparsed. Also some local configuration data is subject to a deserialization vulnerability if the local data were to be replaced with a malicious version. This can be averted if the local configuration data stored on the file system cannot be changed by an attacker. The vulnerability could possibly allow code execution on the local system.

Eclipse Memory Analyzer versión 1.9.1 y versiones anteriores está sujeto a una vulnerabilidad de deserialización si un archivo de índice de un volcado de almacenamiento analizado se reemplaza por una versión malintencionada y el volcado de almacenamiento dinámico se vuelve a abrir en el Analizador de memoria. El usuario debe optar por volver a abrir un volcado de almacenamiento dinámico ya analizado con un índice que no es de confianza para que se produzca el problema. El problema se puede evitar si se eliminan los archivos de índice de un origen que no es de confianza y se abre y vuelve a analizar el volcado del montón. También algunos datos de configuración local están sujetos a una vulnerabilidad de deserialización si los datos locales se reemplazaran con una versión malintencionada. Esto se puede evitar si un atacante no puede cambiar los datos de configuración local almacenados en el sistema de archivos. La vulnerabilidad podría permitir la ejecución de código en el sistema local.

*Credits: N/A
CVSS Scores
Attack Vector
Local
Attack Complexity
Low
Privileges Required
None
User Interaction
Required
Scope
Unchanged
Confidentiality
High
Integrity
High
Availability
High
Attack Vector
Network
Attack Complexity
Medium
Authentication
None
Confidentiality
Partial
Integrity
Partial
Availability
Partial
* Common Vulnerability Scoring System
SSVC
  • Decision:-
Exploitation
-
Automatable
-
Tech. Impact
-
* Organization's Worst-case Scenario
Timeline
  • 2019-10-16 CVE Reserved
  • 2020-01-17 CVE Published
  • 2023-03-08 EPSS Updated
  • 2024-08-05 CVE Updated
  • 2024-08-05 First Exploit
  • ---------- Exploited in Wild
  • ---------- KEV Due Date
CWE
  • CWE-502: Deserialization of Untrusted Data
CAPEC
References (1)
URL Tag Source
URL Date SRC
https://bugs.eclipse.org/bugs/show_bug.cgi?id=558633 2024-08-05
URL Date SRC
URL Date SRC
Affected Vendors, Products, and Versions
Vendor Product Version Other Status
Vendor Product Version Other Status <-- --> Vendor Product Version Other Status
Eclipse
Search vendor "Eclipse"
 Memory Analyzer
Search vendor "Eclipse" for product "Memory Analyzer"
 <= 1.9.1
Search vendor "Eclipse" for product "Memory Analyzer" and version " <= 1.9.1"
-
Affected