Уязвимость Java-библиотеки анализа, извлечения и управления данными в документах HTML jsoup связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки (XSS)
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений
Использование рекомендаций:
Для jsoup:
https://github.com/jhy/jsoup/pull/582
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2015-6748
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2015-6748
Для Logstash:
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства
| Балл | 6.4 — средняя опасность |