5.8средняя
BDU:2021-02787 (CVE-2017-14735)
Уязвимость реализации класса HTMLSerializer фреймворка для дезинфекции вводимых пользователем данных на основе файла политики AntiSamy, позволяющая нарушителю проводить межсайтовые сценарные атаки
Опубликовано: 2021-06-02
Описание
Уязвимость реализации класса HTMLSerializer фреймворка для дезинфекции вводимых пользователем данных на основе файла политики AntiSamy связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки с помощью HTML5-тегов и сетевого HTTP протокола
Затрагиваемое ПО и версии
Retail Back Office (14.0)Retail Back Office (14.1)Retail Returns Management (14.0)Retail Returns Management (14.1)WebCenter Sites (11.1.1.8.0)Insurance Policy Administration J2EE (10.0)Insurance Policy Administration J2EE (10.2)Fusion Middleware MapViewer (12.2.1.3)Application Testing Suite (13.3.0.1)Application Testing Suite (12.5.0.3)Application Testing Suite (13.1.0.1)Application Testing Suite (13.2.0.1)Banking Platform (2.5.0)Banking Platform (2.6.0)Banking Platform (2.6.1)Oracle Insurance Calculation Engine (9.7)Oracle Insurance Calculation Engine (10.0)Oracle Insurance Calculation Engine (10.1)Oracle Insurance Calculation Engine (10.2)Oracle Knowledge (от 8.6.0 до 8.6.3 включительно)Oracle Agile PLM (9.3.5)Oracle Agile PLM (9.3.4)FLEXCUBE Core Banking (5.2.0)AntiSamy (до 1.5.7)Oracle E-Business Suite Technology Stack (12.1.3)Oracle E-Business Suite Technology Stack (от 12.2.3 до 12.2.10 включительно)Fusion Middleware MapViewer (12.1.3.0)Retail Back Office (13.3)Retail Back Office (13.4)Retail Returns Management (13.4)
Способ устранения
Использование рекомендаций:
Для AntiSamy:
https://github.com/nahsra/antisamy/issues/10
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2021.html
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
Оценка CVSS
| Балл | 5.8 — средняя опасность |
Источники и патчи