7.8высокая
BDU:2023-07907
Уязвимость платформы для обеспечения безопасности XML-данных в приложениях на языке Java XML Apache Santuario XML Security for Java, связанная с ошибками при передачи свойства "secureValidation" при создании объекта KeyInfo из элемента KeyInfoReference, позволяющая нарушителю получить доступ к произвольным файлам с расширением .xml
Опубликовано: 2023-11-16
Описание
Уязвимость платформы для обеспечения безопасности XML-данных в приложениях на языке Java XML Apache Santuario XML Security for Java связана с ошибками при передачи свойства "secureValidation" при создании объекта KeyInfo из элемента KeyInfoReference. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к произвольным файлам с расширением .xml через элемент RetrievalMethod
Затрагиваемое ПО и версии
Debian GNU/Linux (9)Oracle Communications Messaging Server (8.1)Debian GNU/Linux (10)WebLogic Server (12.2.1.4.0)Oracle FLEXCUBE Private Banking (12.1)WebLogic Server (14.1.1.0.0)Oracle Retail Merchandising System (16.0.3)Oracle Retail Financial Integration (16.0.3)Oracle Retail Service Backbone (16.0.3)Debian GNU/Linux (11)Oracle Retail Service Backbone (15.0.3.1)Oracle Retail Service Backbone (14.1.3.2)ОСОН ОСнова Оnyx (до 2.4.2)Commerce Guided Search (11.3.2)Oracle PeopleSoft Enterprise PeopleTools (8.58)Oracle PeopleSoft Enterprise PeopleTools (8.59)Santuario XML Security (до 2.1.7)Santuario XML Security (от 2.2.0 до 2.2.3)CXF (3.4.4)TomEE (до 8.0.8)Oracle Outside In Technology (8.5.5)Oracle Outside In Technology (8.5.6)Oracle Retail Bulk Data Integration (16.0.3)Oracle Retail Financial Integration (14.1.3.2)Oracle Retail Financial Integration (15.0.3.1)Oracle Retail Financial Integration (19.0.1)Oracle Retail Integration Bus (14.1.3.2)Oracle Retail Integration Bus (15.0.3.1)Oracle Retail Integration Bus (16.0.3)Oracle Retail Integration Bus (19.0.1)
Способ устранения
Использование рекомендаций:
Для программных продуктов Apache Software Foundation:
https://lists.apache.org/thread/hkx06rpf8pqlwzdd1rpp1h0cntnmmxw0
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2021/09/msg00015.html
Для Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libxml-security-java до версии 2.0.10-2+deb10u1
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи