4.6средняя
BDU:2020-00970
Уязвимость набора инструментов XSSFExportToXml Java-библиотеки для чтения и записи документов MS Office Apache POI, позволяющая нарушителю получить несанкционированный доступ на чтение файлов
Опубликовано: 2020-03-12
Описание
Уязвимость набора инструментов XSSFExportToXml Java-библиотеки для чтения и записи документов MS Office Apache POI связана с недостатками ограничения XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ на чтение файлов
Затрагиваемое ПО и версии
Enterprise Repository (12.1.3.0.0)Primavera Unifier (16.2)Primavera Unifier (16.1)WebCenter Portal (12.2.1.3.0)Oracle Retail Order Broker (15.0)Oracle Retail Order Broker (16.0)Enterprise Manager Base Platform (12.1.0.5)Application Testing Suite (13.3.0.1)Primavera Unifier (18.8)Application Testing Suite (12.5.0.3)Application Testing Suite (13.1.0.1)Application Testing Suite (13.2.0.1)Enterprise Manager Base Platform (13.3.0.0)Primavera Gateway (17.12.6)Primavera Gateway (18.8.8.1)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)Oracle Financial Services Market Risk Measurement and Management (8.0.6)Oracle Financial Services Market Risk Measurement and Management (8.0.8)Oracle Endeca Information Discovery Studio (3.2.0)Oracle Retail Clearance Optimization Engine (14.0)Oracle Retail Predictive Application Server (15.0.3)Oracle Retail Predictive Application Server (16.0.3)POI (до 4.1.0 включительно)Banking Platform (2.5.0)Banking Platform (2.6.0)Banking Platform (2.6.1)Banking Platform (2.6.2)Banking Enterprise Product Manufacturing (2.7.0)Banking Enterprise Product Manufacturing (2.8.0)
Способ устранения
Использование рекомендаций:
Для MS Office Apache POI:
https://lists.apache.org/thread.html/13a54b6a03369cfb418a699180ffb83bd727320b6ddfec198b9b728e@%3Cannounce.apache.org%3E
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
Оценка CVSS
| Балл | 4.6 — средняя опасность |
Источники и патчи