10критическая
BDU:2020-04038
Уязвимость реализации функции new org.dom4j.io.SAXReader() библиотеки для работы с XML, XPath и XSLT dom4j, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2020-08-26
Описание
Уязвимость реализации функции new org.dom4j.io.SAXReader() библиотеки для работы с XML, XPath и XSLT dom4j связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Business Process Management Suite (12.2.1.3.0)Oracle Endeca Information Discovery Integrator (3.2.0)WebCenter Portal (11.1.1.9.0)WebCenter Portal (12.2.1.3.0)Oracle Retail Customer Management and Segmentation Foundation (16.0)Oracle Retail Customer Management and Segmentation Foundation (17.0)Oracle Retail Customer Management and Segmentation Foundation (18.0)Oracle Retail Order Broker (15.0)Oracle Retail Order Broker (16.0)Oracle Communications Unified Inventory Management (7.4.0)Red Hat JBoss Fuse (7)OpenSUSE Leap (15.1)Oracle Data Integrator (12.2.1.3.0)Utilities Framework (4.4.0.0.0)Utilities Framework (4.2.0.3.0)Utilities Framework (4.2.0.2.0)Application Testing Suite (13.3.0.1)Red Hat Software CollectionsJBoss Enterprise Application Platform (7)Red Hat Single Sign-On (7)JBoss Enterprise Application Platform Continuous DeliveryOracle Communications Unified Inventory Management (7.3)Oracle Communications Unified Inventory Management (7.4)Red Hat Descision Manager (7)Oracle Retail Order Broker (18.0)Retail Integration Bus (15.0)Retail Integration Bus (16.0)WebCenter Portal (12.2.1.4.0)Oracle Retail Order Broker (19.0)
Способ устранения
Использование рекомендаций:
Для dom4j:
https://github.com/dom4j/dom4j/commit/a8228522a99a02146106672a34c104adbda5c658
https://github.com/dom4j/dom4j/commits/version-2.0.3
https://github.com/dom4j/dom4j/issues/87
https://github.com/dom4j/dom4j/releases/tag/version-2.1.3
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-10683
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00061.html
Для ОСОН Основа:
Обновление программного обеспечения dom4j до версии 2.1.3-1
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2454
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи