ГлавнаяБаза уязвимостей БДУ → BDU:2023-05424
6.4средняя

BDU:2023-05424 (CVE-2019-10219)

Уязвимость валидатора SafeHtml библиотеки Hibernate Validator, позволяющая нарушителю проводить межсайтовые сценарные атаки
Опубликовано: 2023-09-11
Описание

Уязвимость валидатора SafeHtml библиотеки Hibernate Validator связана с непринятием мер по защите структуры веб-страницы при обработке HTML-содержимого. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки

Затрагиваемое ПО и версии
WebLogic Server (12.2.1.3.0)Debian GNU/Linux (10)JBoss Enterprise Application Platform (7.2)WebLogic Server (12.2.1.4.0)JBoss Enterprise Application Platform (7.2 for RHEL 6)JBoss Enterprise Application Platform (7.2 for RHEL 7)JBoss Enterprise Application Platform (7.2 for RHEL 8)WebLogic Server (14.1.1.0.0)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Альт 8 СПHibernate Validator (до 6.0.18)Hibernate Validator (от 6.1.0 alpha1 до 6.1.0 alpha6 включительно)Red Hat Satellite (6.8 for RHEL 7)Debian GNU/Linux (13)Red Hat Data Grid (7.3.6)Red Hat Fuse (7.8.0)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Hibernate Validator:
https://github.com/apache/accumulo/pull/1469
https://github.com/hibernate/hibernate-validator/tags?after=6.1.1.Final
https://hibernate.org/validator/releases/

Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-10219

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-10219

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2022.html

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://security-tracker.debian.org/tracker/CVE-2019-10219https://access.redhat.com/security/cve/CVE-2019-10219https://vuldb.com/ru/?id.145250https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10219https://lists.apache.org/thread.html/r4f8b4e2541be4234946e40d55859273a7eec0f4901e8080ce2406fe6@%3Cnotifications.accumulo.apache.org%3Ehttps://lists.apache.org/thread.html/r4f92d7f7682dcff92722fa947f9e6f8ba2227c5dc3e11ba09114897d@%3Cnotifications.accumulo.apache.org%3Ehttps://lists.apache.org/thread.html/r87b7e2d22982b4ca9f88f5f4f22a19b394d2662415b233582ed22ebf@%3Cnotifications.accumulo.apache.org%3Ehttps://lists.apache.org/thread.html/rb8dca19a4e52b60dab0ab21e2ff9968d78f4b84e4033824db1dd24b4@%3Cpluto-scm.portals.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена