Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-00970

Опубликовано: 20 окт. 2019
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость набора инструментов XSSFExportToXml Java-библиотеки для чтения и записи документов MS Office Apache POI связана с недостатками ограничения XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ на чтение файлов

Вендор

Oracle Corp.
Apache Software Foundation

Наименование ПО

Enterprise Repository
Primavera Unifier
WebCenter Portal
Oracle Retail Order Broker
Enterprise Manager Base Platform
Application Testing Suite
Primavera Gateway
Oracle Financial Services Market Risk Measurement and Management
Oracle Endeca Information Discovery Studio
Oracle Retail Clearance Optimization Engine
Oracle Retail Predictive Application Server
POI
Banking Platform
Banking Enterprise Product Manufacturing
Financial Services Analytical Applications Infrastructure
Oracle Banking Enterprise Originations
Oracle Big Data Discovery
Insurance Policy Administration J2EE
Oracle Insurance Rules Palette
Oracle FLEXCUBE Private Banking
Oracle Banking Payments
Communications Diameter Signaling Router
Hyperion Infrastructure Technology

Версия ПО

12.1.3.0.0 (Enterprise Repository)
16.2 (Primavera Unifier)
16.1 (Primavera Unifier)
12.2.1.3.0 (WebCenter Portal)
15.0 (Oracle Retail Order Broker)
16.0 (Oracle Retail Order Broker)
12.1.0.5 (Enterprise Manager Base Platform)
13.3.0.1 (Application Testing Suite)
18.8 (Primavera Unifier)
12.5.0.3 (Application Testing Suite)
13.1.0.1 (Application Testing Suite)
13.2.0.1 (Application Testing Suite)
13.3.0.0 (Enterprise Manager Base Platform)
17.12.6 (Primavera Gateway)
18.8.8.1 (Primavera Gateway)
19.12 (Primavera Unifier)
от 17.7 до 17.12 включительно (Primavera Unifier)
8.0.6 (Oracle Financial Services Market Risk Measurement and Management)
8.0.8 (Oracle Financial Services Market Risk Measurement and Management)
3.2.0 (Oracle Endeca Information Discovery Studio)
14.0 (Oracle Retail Clearance Optimization Engine)
15.0.3 (Oracle Retail Predictive Application Server)
16.0.3 (Oracle Retail Predictive Application Server)
до 4.1.0 включительно (POI)
2.5.0 (Banking Platform)
2.6.0 (Banking Platform)
2.6.1 (Banking Platform)
2.6.2 (Banking Platform)
2.7.0 (Banking Enterprise Product Manufacturing)
2.8.0 (Banking Enterprise Product Manufacturing)
от 8.0.6 до 8.0.9 включительно (Financial Services Analytical Applications Infrastructure)
12.2.1.4.0 (WebCenter Portal)
2.4.0 (Banking Platform)
2.4.1 (Banking Platform)
2.7.0 (Banking Platform)
2.7.1 (Banking Platform)
2.9.0 (Banking Platform)
2.7.0 (Oracle Banking Enterprise Originations)
2.8.0 (Oracle Banking Enterprise Originations)
1.6 (Oracle Big Data Discovery)
11.0.2 (Insurance Policy Administration J2EE)
11.1.0 (Insurance Policy Administration J2EE)
11.2.0 (Insurance Policy Administration J2EE)
10.2.0 (Oracle Insurance Rules Palette)
10.2.4 (Oracle Insurance Rules Palette)
11.0.2 (Oracle Insurance Rules Palette)
11.1.0 (Oracle Insurance Rules Palette)
11.2.0 (Oracle Insurance Rules Palette)
13.4.0.0 (Enterprise Manager Base Platform)
12.0.0 (Oracle FLEXCUBE Private Banking)
12.1.0 (Oracle FLEXCUBE Private Banking)
от 14.1.0 до 14.4.0 включительно (Oracle Banking Payments)
от 8.0.0 до 8.2.2 включительно (Communications Diameter Signaling Router)
11.1.2.4 (Hyperion Infrastructure Technology)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для MS Office Apache POI:
https://lists.apache.org/thread.html/13a54b6a03369cfb418a699180ffb83bd727320b6ddfec198b9b728e@%3Cannounce.apache.org%3E
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 5%
0.00022
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-12415

CVSS3: 5.5
ubuntu
больше 6 лет назад

In Apache POI up to 4.1.0, when using the tool XSSFExportToXml to convert user-provided Microsoft Excel documents, a specially crafted document can allow an attacker to read files from the local filesystem or from internal network resources via XML External Entity (XXE) Processing.

redhat логотип

CVE-2019-12415

CVSS3: 5
redhat
почти 6 лет назад

In Apache POI up to 4.1.0, when using the tool XSSFExportToXml to convert user-provided Microsoft Excel documents, a specially crafted document can allow an attacker to read files from the local filesystem or from internal network resources via XML External Entity (XXE) Processing.

nvd логотип

CVE-2019-12415

CVSS3: 5.5
nvd
больше 6 лет назад

In Apache POI up to 4.1.0, when using the tool XSSFExportToXml to convert user-provided Microsoft Excel documents, a specially crafted document can allow an attacker to read files from the local filesystem or from internal network resources via XML External Entity (XXE) Processing.

debian логотип

CVE-2019-12415

CVSS3: 5.5
debian
больше 6 лет назад

In Apache POI up to 4.1.0, when using the tool XSSFExportToXml to conv ...

github логотип

GHSA-9jwc-q6j3-8g9g

CVSS3: 5.5
github
больше 3 лет назад

Improper Restriction of XML External Entity Reference in Apache POI

EPSS

Процентиль: 5%
0.00022
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2