ГлавнаяБаза уязвимостей БДУ → BDU:2019-04080
5.8средняя

BDU:2019-04080 (CVE-2019-17091)

Уязвимость компонента faces/context/PartialViewContextImpl.java библиотеки Eclipse Mojarra, как реализации спецификаций Mojarra JavaServer Faces и Eclipse EE4J, позволяющая нарушителю осуществить межсайтовую сценарную атаку
Опубликовано: 2019-11-19
Описание

Уязвимость компонента faces/context/PartialViewContextImpl.java библиотеки Eclipse Mojarra, как реализации спецификаций Mojarra JavaServer Faces и Eclipse EE4J, связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить межсайтовую сценарную атаку

Затрагиваемое ПО и версии
Oracle Secure Global Desktop (5.4)Oracle Retail Merchandising System (16.0)Application Testing Suite (13.3.0.1)Eclipse mojarra (от 2.3.0 до 2.3.10)Mojarra JavaServer faces (от 2.2.0 до 2.2.20)Primavera P6 Enterprise Project Portfolio Management (от 15.1.0.0 до 15.2.18.7 включительно)Primavera P6 Enterprise Project Portfolio Management (от 16.1.0.0 до 16.2.19.0 включительно)Primavera P6 Enterprise Project Portfolio Management (19.12.0.0)Application Testing Suite (13.2.0.1)Oracle Communications Unified Inventory Management (7.3)Oracle Communications Unified Inventory Management (7.4)Primavera P6 Enterprise Project Portfolio Management (от 18.1.0.0 до 18.8.15.0 включительно)Primavera P6 Enterprise Project Portfolio Management (от 17.1.0.0 до 17.12.15.0 включительно)Oracle Retail Assortment Planning (16.0.3)Oracle Secure Global Desktop (5.5)Retail Integration Bus (15.0)Retail Integration Bus (16.0)Banking Enterprise Product Manufacturing (2.7.0)Banking Enterprise Product Manufacturing (2.8.0)Oracle Retail Assortment Planning (15.0)Oracle Retail Assortment Planning (16.0)Oracle Retail Financial Integration (15.0)Oracle Retail Financial Integration (16.0)Oracle Retail Service Backbone (15.0)Oracle Retail Service Backbone (16.0)Rapid Planning (12.1)Rapid Planning (12.2)Retail Store Inventory Management (14.0.4)Retail Store Inventory Management (14.1.3)Retail Store Inventory Management (15.0.3)
Способ устранения

Использование рекомендаций производителя:
Для программных продуктов Eclipse:
https://bugs.eclipse.org/bugs/show_bug.cgi?id=548244

Для Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Оценка CVSS
Балл5.8 — средняя опасность
Источники и патчи
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-17091https://bugs.eclipse.org/bugs/show_bug.cgi?id=548244https://github.com/eclipse-ee4j/mojarra/commit/8f70f2bd024f00ecd5b3dcca45df73edda29dceehttps://github.com/eclipse-ee4j/mojarra/commit/a3fa9573789ed5e867c43ea38374f4dbd5a8f81fhttps://github.com/eclipse-ee4j/mojarra/compare/2.3.9-RELEASE...2.3.10-RELEASEhttps://github.com/eclipse-ee4j/mojarra/issues/4556https://github.com/eclipse-ee4j/mojarra/pull/4567
Проверьте безопасность своего сайта и почты → Полная проверка домена