ГлавнаяБаза уязвимостей БДУ → BDU:2021-00877
5средняя

BDU:2021-00877 (CVE-2020-35460)

Уязвимость функции в common/InputStreamHelper.java библиотеки MPXJ, позволяющая нарушителю осуществлять запись файлов в произвольные места
Опубликовано: 2021-02-23
Описание

Уязвимость функции в common/InputStreamHelper.java библиотеки MPXJ существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять запись файлов в произвольные места

Затрагиваемое ПО и версии
Primavera Unifier (16.2)Primavera Unifier (16.1)Primavera Unifier (18.8)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)Primavera Unifier (20.12)MPXJ (до 8.3.5)COMOS (до 10.4.4)
Способ устранения

Обновление библиотеки MPXJ до более актуальной версии

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html

Для продуктов Siemens:
https://cert-portal.siemens.com/productcert/html/ssa-137900.html

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://www.oracle.com/security-alerts/cpujan2021.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2020-35460https://github.com/joniles/mpxj/commit/8eaf4225048ea5ba7e59ef4556dab2098fcc4a1dhttps://cert-portal.siemens.com/productcert/html/ssa-137900.html
Проверьте безопасность своего сайта и почты → Полная проверка домена