ГлавнаяБаза уязвимостей БДУ → BDU:2024-02259
8.5высокая

BDU:2024-02259 (CVE-2021-23463)

Уязвимость пакета com.h2database:h2 системы управления базами данных H2, позволяющая нарушителю проводить XXE-атаки
Опубликовано: 2024-03-22
Описание

Уязвимость пакета com.h2database:h2 системы управления базами данных H2 связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Red Hat build of QuarkusRed Hat Integration Service RegistryDebian GNU/Linux (11)Debian GNU/Linux (12)H2 (от 1.4.198 до 2.0.202)Nexus Repository Manager (3.65.0-02)
Способ устранения

Использование рекомендаций:
Для H2:
https://github.com/h2database/h2database/issues/3195
https://github.com/h2database/h2database/pull/3199
https://security.netapp.com/advisory/ntap-20230818-0010/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-23463

Компенсирующие меры для Nexus:
- использование средств межсетевого экранирования уровня веб-приложений;
- использование антивирусного программного обеспечения для анализа XML-файлов;
- использование сторонних средств контроля доступа пользователей (VPN и др.) к программному продукту из общедоступных сетей (Интернет).

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://github.com/h2database/h2database/issues/3195https://github.com/h2database/h2database/pull/3199https://security.netapp.com/advisory/ntap-20230818-0010/https://access.redhat.com/security/cve/CVE-2021-23463https://snyk.io/vuln/SNYK-JAVA-COMH2DATABASE-1769238
Проверьте безопасность своего сайта и почты → Полная проверка домена