ГлавнаяБаза уязвимостей БДУ → BDU:2019-00563
4.3средняя

BDU:2019-00563 (CVE-2018-11039)

Уязвимость реализации механизма HiddenHttpMethodFilter программной платформы Spring Framework, позволяющая нарушителю осуществить межсайтовую сценарную атаку
Опубликовано: 2019-02-12
Описание

Уязвимость реализации механизма HiddenHttpMethodFilter программной платформы Spring Framework связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить межсайтовую сценарную атаку с использованием метода трассировки TRACE

Затрагиваемое ПО и версии
Primavera P6 Enterprise Project Portfolio Management (18.8)Spring Framework (от 5.0.0 до 5.0.7)Spring Framework (от 4.3.0 до 4.3.18)Oracle Retail Clearance Optimization Engine (14.0.5)Oracle Retail Markdown Optimization (13.4.4)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
https://pivotal.io/security/cve-2018-11039
https://www.oracle.com/security-alerts/cpujan2020.html

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libspring-java до версии 4.3.5-1+deb9u1

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.htmlhttp://www.securityfocus.com/bid/107984https://pivotal.io/security/cve-2018-11039https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.htmlhttps://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.htmlhttps://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.htmlhttps://www.oracle.com/security-alerts/cpujan2020.htmlhttps://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена