ГлавнаяБаза уязвимостей БДУ → BDU:2021-00711
5.8средняя

BDU:2021-00711 (CVE-2020-13954)

Уязвимость каркаса для веб-сервисов Apache CXF, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки
Опубликовано: 2021-02-16
Описание

Уязвимость каркаса для веб-сервисов Apache CXF связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки с помощью параметра styleSheetPath

Затрагиваемое ПО и версии
PeopleSoft Enterprise PeopleTools (8.56)PeopleSoft Enterprise PeopleTools (8.57)Oracle Communications Messaging Server (8.1)Jboss Fuse (7)Utilities Framework (4.4.0.0.0)Utilities Framework (4.3.0.6.0)OpenShift Application RuntimesRed Hat Single Sign-On (7)Red Hat Descision Manager (7)PeopleSoft Enterprise PeopleTools (8.58)Oracle Communications Messaging Server (8.0.2)Red Hat Process Automation (7)Utilities Framework (4.4.0.2.0)CXF (до 3.3.8)CXF (от 3.4.0 до 3.4.1)Oracle Retail Order Broker Cloud Service (15.0)Communications Application Session Controller (3.9m0p3)JD Edwards EnterpriseOne Tools (до 9.2.5.3)Utilities Framework (4.4.0.3.0)
Способ устранения

Использование рекомендаций:
Для Apache CXF:
http://cxf.apache.org/security-advisories.data/CVE-2020-13954.txt.asc?version=1&modificationDate=1605183670659&api=v2
https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cannounce.apache.org%3E
https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cdev.cxf.apache.org%3E
https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cusers.cxf.apache.org%3E
https://lists.apache.org/thread.html/r81a41a2915985d49bc3ea57dde2018b03584a863878a8532a89f993f@%3Cusers.cxf.apache.org%3E
https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuapr2021.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-13954

Оценка CVSS
Балл5.8 — средняя опасность
Источники и патчи
http://cxf.apache.org/security-advisories.data/CVE-2020-13954.txt.asc?version=1&modificationDate=1605183670659&api=v2https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cannounce.apache.org%3Ehttps://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cdev.cxf.apache.org%3Ehttps://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cusers.cxf.apache.org%3Ehttps://lists.apache.org/thread.html/r81a41a2915985d49bc3ea57dde2018b03584a863878a8532a89f993f@%3Cusers.cxf.apache.org%3Ehttps://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4dhttps://www.oracle.com/security-alerts/cpujan2021.htmlhttps://access.redhat.com/security/cve/cve-2020-13954
Проверьте безопасность своего сайта и почты → Полная проверка домена