ГлавнаяБаза уязвимостей БДУ → BDU:2025-04265
10критическая

BDU:2025-04265

Уязвимость компонента XML parsers средства разработки программного обеспечения iText, позволяющая нарушителю проводить XXE-атаки
Опубликовано: 2025-04-11
Описание

Уязвимость компонента XML parsers средства разработки программного обеспечения iText связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить XXE-атаки путем отправки специально созданного вредоносного PDF-файла

Затрагиваемое ПО и версии
Primavera Unifier (16.2)Primavera Unifier (16.1)Primavera Unifier (18.8)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)iText (до 5.5.12)iText (до 7.0.3)HPE Intelligent Management Center (до PLAT 7.3 E0605P04)
Способ устранения

Обновление программного обеспечения до версий 5.5.12, 7.0.3 и выше.

Использование рекомендаций:
Для HPE Inc.:
https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbhf03902en_us

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.compass-security.com/fileadmin/Datein/Research/Advisories/CSNC-2017-017_itext_xml_external_entity_attack.txthttps://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbhf03902en_ushttps://www.oracle.com/security-alerts/cpuoct2020.htmlhttps://vuldb.com/?id.109243
Проверьте безопасность своего сайта и почты → Полная проверка домена