BDU:2019-04080

Опубликовано: 13 июн. 2019

Источник: fstec

CVSS3: 6.1

CVSS2: 5.8

EPSS Низкий

Описание

Уязвимость компонента faces/context/PartialViewContextImpl.java библиотеки Eclipse Mojarra, как реализации спецификаций Mojarra JavaServer Faces и Eclipse EE4J, связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить межсайтовую сценарную атаку

Вендор

Oracle Corp.

Eclipse Foundation

Сообщество свободного программного обеспечения

Наименование ПО

Oracle Secure Global Desktop

Oracle Retail Merchandising System

Application Testing Suite

Eclipse mojarra

Mojarra JavaServer faces

Primavera P6 Enterprise Project Portfolio Management

Oracle Communications Unified Inventory Management

Oracle Retail Assortment Planning

Retail Integration Bus

Banking Enterprise Product Manufacturing

Oracle Retail Financial Integration

Oracle Retail Service Backbone

Rapid Planning

Retail Store Inventory Management

Oracle Retail Invoice Matching

Oracle Communications Network Integrity

Communications Diameter Signaling Router

Oracle Retail Bulk Data Integration

Enterprise Data Quality

Версия ПО

5.4 (Oracle Secure Global Desktop)

16.0 (Oracle Retail Merchandising System)

13.3.0.1 (Application Testing Suite)

от 2.3.0 до 2.3.10 (Eclipse mojarra)

от 2.2.0 до 2.2.20 (Mojarra JavaServer faces)

от 15.1.0.0 до 15.2.18.7 включительно (Primavera P6 Enterprise Project Portfolio Management)

от 16.1.0.0 до 16.2.19.0 включительно (Primavera P6 Enterprise Project Portfolio Management)

19.12.0.0 (Primavera P6 Enterprise Project Portfolio Management)

13.2.0.1 (Application Testing Suite)

7.3 (Oracle Communications Unified Inventory Management)

7.4 (Oracle Communications Unified Inventory Management)

от 18.1.0.0 до 18.8.15.0 включительно (Primavera P6 Enterprise Project Portfolio Management)

от 17.1.0.0 до 17.12.15.0 включительно (Primavera P6 Enterprise Project Portfolio Management)

16.0.3 (Oracle Retail Assortment Planning)

5.5 (Oracle Secure Global Desktop)

15.0 (Retail Integration Bus)

16.0 (Retail Integration Bus)

2.7.0 (Banking Enterprise Product Manufacturing)

2.8.0 (Banking Enterprise Product Manufacturing)

15.0 (Oracle Retail Assortment Planning)

16.0 (Oracle Retail Assortment Planning)

15.0 (Oracle Retail Financial Integration)

16.0 (Oracle Retail Financial Integration)

15.0 (Oracle Retail Service Backbone)

16.0 (Oracle Retail Service Backbone)

12.1 (Rapid Planning)

12.2 (Rapid Planning)

14.0.4 (Retail Store Inventory Management)

14.1.3 (Retail Store Inventory Management)

15.0.3 (Retail Store Inventory Management)

16.0.3 (Retail Store Inventory Management)

16.0 (Oracle Retail Invoice Matching)

7.3.5 (Oracle Communications Network Integrity)

7.3.6 (Oracle Communications Network Integrity)

от 8.0.0.0 до 8.4.0.5 включительно (Communications Diameter Signaling Router)

16.0.3.0 (Oracle Retail Bulk Data Integration)

12.2.1.3.0 (Enterprise Data Quality)

Тип ПО

Прикладное ПО информационных систем

Сетевое программное средство

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

Для программных продуктов Eclipse:

https://bugs.eclipse.org/bugs/show_bug.cgi?id=548244

Для Oracle:

https://www.oracle.com/security-alerts/cpujan2020.html

https://www.oracle.com/security-alerts/cpuapr2020.html

https://www.oracle.com/security-alerts/cpujul2020.html

https://www.oracle.com/security-alerts/cpuoct2020.html

https://www.oracle.com/security-alerts/cpujan2021.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-17091
CVE

EPSS

Процентиль: 91%

0.07188

Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

CVE-2019-17091

CVSS3: 6.1

nvd

больше 6 лет назад

faces/context/PartialViewContextImpl.java in Eclipse Mojarra, as used in Mojarra for Eclipse EE4J before 2.3.10 and Mojarra JavaServer Faces before 2.2.20, allows Reflected XSS because a client window field is mishandled.

CVE-2019-17091

CVSS3: 6.1

debian

больше 6 лет назад

faces/context/PartialViewContextImpl.java in Eclipse Mojarra, as used ...

GHSA-rjhx-c9qh-qh8f

CVSS3: 6.1

github

больше 3 лет назад

Cross-site Scripting in Eclipse Mojarra

EPSS

Процентиль: 91%

0.07188

Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2