BDU:2020-00255

Опубликовано: 12 сент. 2018

Источник: fstec

CVSS3: 7.2

CVSS2: 9

EPSS Низкий

Описание

Уязвимость реализации технологии XSLT (eXtensible Stylesheet Language Transformations) системы для управления цифровыми идентификаторами Apache Syncope связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить чтение файла, запись файла или выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

Syncope

Версия ПО

до 1.2.11 (Syncope)

до 2.0.8 (Syncope)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:

http://syncope.apache.org/security.html#CVE-2018-1321:_Remote_code_execution_by_administrators_with_report_and_template_entitlements

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-1321
CVE

EPSS

Процентиль: 91%

0.06394

Низкий

7.2 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2018-1321

CVSS3: 7.2

nvd

почти 8 лет назад

An administrator with report and template entitlements in Apache Syncope 1.2.x before 1.2.11, 2.0.x before 2.0.8, and unsupported releases 1.0.x and 1.1.x which may be also affected, can use XSL Transformations (XSLT) to perform malicious operations, including but not limited to file read, file write, and code execution.

GHSA-xgc9-9w4v-h33h

CVSS3: 7.2

github

больше 7 лет назад

High severity vulnerability that affects org.apache.syncope:syncope-core

EPSS

Процентиль: 91%

0.06394

Низкий

7.2 High

CVSS3

9 Critical

CVSS2