ГлавнаяБаза уязвимостей БДУ → BDU:2020-02695
7.6высокая

BDU:2020-02695 (CVE-2020-5398)

Уязвимость компонента Spring Framework программного продукта Oracle Retail Order Broker, позволяющая нарушителю получить полный контроль над приложением
Опубликовано: 2020-06-10
Описание

Уязвимость компонента Spring Framework программного продукта Oracle Retail Order Broker существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над приложением с помощью сетевого HTTP протокола

Затрагиваемое ПО и версии
WebLogic Server (12.2.1.3.0)Oracle Retail Order Broker (15.0)Oracle Retail Order Broker (16.0)Red Hat JBoss Fuse (7)Application Testing Suite (13.3.0.1)WebLogic Server (12.2.1.4.0)Oracle Retail Predictive Application Server (15.0.3)Oracle Retail Predictive Application Server (16.0.3)Oracle Retail Assortment Planning (15.0)Oracle Retail Assortment Planning (16.0)Oracle Communications Element Manager (8.1.1)Oracle Communications Element Manager (8.2.0)Oracle Communications Session Report Manager (8.1.1)Oracle Communications Session Report Manager (8.2.0)Oracle Communications Session Route Manager (8.1.1)Oracle Communications Session Route Manager (8.2.0)Oracle Retail Financial Integration (15.0)Oracle Retail Financial Integration (16.0)Spring Framework (от 5.2.0 до 5.2.3)Spring Framework (от 5.0.0 до 5.0.16)Spring Framework (от 5.1.1 до 5.1.13)Spring Framework (5.1.0)Spring Framework (5.1.0 rc1)Spring Framework (5.1.0 rc2)Spring Framework (5.1.0 rc3)Communications BRM - Elastic Charging Engine (11.3)Communications BRM - Elastic Charging Engine (12.0)Oracle Communications Element Manager (8.2.1)Oracle Communications Session Report Manager (8.2.1)Oracle Communications Session Route Manager (8.2.1)
Способ устранения

Использование рекомендаций:
Для Spring Framework:
https://tanzu.vmware.com/security/cve-2020-5398

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-5398

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://lists.apache.org/thread.html/r028977b9b9d44a89823639aa3296fb0f0cfdd76b4450df89d3c4fbbf@%3Cissues.karaf.apache.org%3Ehttps://lists.apache.org/thread.html/r0f2d0ae1bad2edb3d4a863d77f3097b5e88cfbdae7b809f4f42d6aad@%3Cissues.karaf.apache.org%3Ehttps://lists.apache.org/thread.html/r0f3530f7cb510036e497532ffc4e0bd0b882940448cf4e233994b08b@%3Ccommits.karaf.apache.org%3Ehttps://lists.apache.org/thread.html/r1accbd4f31ad2f40e1661d70a4510a584eb3efd1e32e8660ccf46676@%3Ccommits.karaf.apache.org%3Ehttps://lists.apache.org/thread.html/r1bc5d673c01cfbb8e4a91914e9748ead3e5f56b61bca54d314c0419b@%3Cissues.karaf.apache.org%3Ehttps://lists.apache.org/thread.html/r2dfd5b331b46d3f90c4dd63a060e9f04300468293874bd7e41af7163@%3Cissues.karaf.apache.org%3Ehttps://lists.apache.org/thread.html/r3765353ff434fd00d8fa5a44734b3625a06eeb2a3fb468da7dfae134@%3Ccommits.karaf.apache.org%3Ehttps://lists.apache.org/thread.html/r4639e821ef9ca6ca10887988f410a60261400a7766560e7a97a22efc@%3Ccommits.karaf.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена