Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02137

Опубликовано: 22 июл. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции initDocumentParser (xml/XMLSchedulingDataProcessor.java) библиотеки планирования заданий Terracotta Quartz Scheduler связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить XXE-атаку

Вендор

Oracle Corp.
Red Hat Inc.
ООО «РусБИТех-Астра»
Novell Inc.
Terracotta, Inc.
АО "НППКТ"

Наименование ПО

Retail Back Office
Retail Central Office
Retail Returns Management
Retail Point-of-Service
Fusion Middleware MapViewer
Primavera Unifier
Red Hat Virtualization
Oracle Retail Order Broker
Astra Linux Common Edition
Jboss Fuse
Red Hat Process Automation Manager
Red Hat Descision Manager
SUSE Linux Enterprise Module for SUSE Manager Server
SUSE Manager Server
Banking Enterprise Product Manufacturing
Oracle Banking Enterprise Originations
Quartz Scheduler
Enterprise Manager Ops Center
Oracle Communications Session Route Manager
Enterprise Manager Base Platform
Hyperion Infrastructure Technology
ОСОН ОСнова Оnyx

Версия ПО

14.1 (Retail Back Office)
14.1 (Retail Central Office)
14.1 (Retail Returns Management)
14.1 (Retail Point-of-Service)
12.2.1.3.0 (Fusion Middleware MapViewer)
16.2 (Primavera Unifier)
16.1 (Primavera Unifier)
4 (Red Hat Virtualization)
15.0 (Oracle Retail Order Broker)
16.0 (Oracle Retail Order Broker)
2.12 «Орёл» (Astra Linux Common Edition)
7 (Jboss Fuse)
18.8 (Primavera Unifier)
7 (Red Hat Process Automation Manager)
7 (Red Hat Descision Manager)
от 17.7 до 17.12 включительно (Primavera Unifier)
4.0 (SUSE Linux Enterprise Module for SUSE Manager Server)
3.2 (SUSE Manager Server)
18.0 (Oracle Retail Order Broker)
2.7.0 (Banking Enterprise Product Manufacturing)
2.8.0 (Banking Enterprise Product Manufacturing)
2.7.0 (Oracle Banking Enterprise Originations)
2.8.0 (Oracle Banking Enterprise Originations)
до 2.3.2 (Quartz Scheduler)
19.0 (Oracle Retail Order Broker)
12.4.0.0 (Enterprise Manager Ops Center)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Route Manager)
13.2.1.0 (Enterprise Manager Base Platform)
11.1.2.4 (Hyperion Infrastructure Technology)
до 2.4.2 (ОСОН ОСнова Оnyx)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство
ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционная система

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Quartz Scheduler:
https://github.com/quartz-scheduler/quartz/issues/467
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-13990/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-13990
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
Для Astra Linux:
Обновление программного обеспечения (пакета libquartz2-java) до 2.3.0-3 или более поздней версии
Для ОСОН Основа:
Обновление программного обеспечения libquartz2-java до версии 2.3.0-3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 92%
0.08578
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-13990

CVSS3: 9.8
ubuntu
больше 6 лет назад

initDocumentParser in xml/XMLSchedulingDataProcessor.java in Terracotta Quartz Scheduler through 2.3.0 allows XXE attacks via a job description.

redhat логотип

CVE-2019-13990

CVSS3: 8.1
redhat
больше 6 лет назад

initDocumentParser in xml/XMLSchedulingDataProcessor.java in Terracotta Quartz Scheduler through 2.3.0 allows XXE attacks via a job description.

nvd логотип

CVE-2019-13990

CVSS3: 9.8
nvd
больше 6 лет назад

initDocumentParser in xml/XMLSchedulingDataProcessor.java in Terracotta Quartz Scheduler through 2.3.0 allows XXE attacks via a job description.

debian логотип

CVE-2019-13990

CVSS3: 9.8
debian
больше 6 лет назад

initDocumentParser in xml/XMLSchedulingDataProcessor.java in Terracott ...

github логотип

GHSA-9qcf-c26r-x5rf

CVSS3: 9.8
github
больше 5 лет назад

XML external entity injection in Terracotta Quartz Scheduler

EPSS

Процентиль: 92%
0.08578
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2