Описание
Уязвимость реализации функции new org.dom4j.io.SAXReader() библиотеки для работы с XML, XPath и XSLT dom4j связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Вендор
Red Hat Inc.
Oracle Corp.
Novell Inc.
Сообщество свободного программного обеспечения
АО "НППКТ"
АО «НТЦ ИТ РОСА»
Наименование ПО
Red Hat Enterprise Linux
Business Process Management Suite
Oracle Endeca Information Discovery Integrator
WebCenter Portal
Oracle Retail Customer Management and Segmentation Foundation
Oracle Retail Order Broker
Oracle Communications Unified Inventory Management
Red Hat JBoss Fuse
OpenSUSE Leap
Oracle Data Integrator
Utilities Framework
Application Testing Suite
Red Hat Software Collections
JBoss Enterprise Application Platform
Red Hat Single Sign-On
JBoss Enterprise Application Platform Continuous Delivery
Red Hat Descision Manager
Retail Integration Bus
Oracle Agile PLM
Rapid Planning
Financial Services Analytical Applications Infrastructure
Primavera P6 Enterprise Project Portfolio Management
dom4j
Red Hat Process Automation
Communications Diameter Signaling Router
Banking Platform
Communications Application Session Controller
Oracle Health Sciences Empirica Signal
Oracle Retail Price Management Security
Oracle Health Sciences Information Manager
Enterprise Data Quality
ОСОН ОСнова Оnyx
РОСА ХРОМ
Версия ПО
7 (Red Hat Enterprise Linux)
12.2.1.3.0 (Business Process Management Suite)
3.2.0 (Oracle Endeca Information Discovery Integrator)
11.1.1.9.0 (WebCenter Portal)
12.2.1.3.0 (WebCenter Portal)
16.0 (Oracle Retail Customer Management and Segmentation Foundation)
17.0 (Oracle Retail Customer Management and Segmentation Foundation)
18.0 (Oracle Retail Customer Management and Segmentation Foundation)
15.0 (Oracle Retail Order Broker)
16.0 (Oracle Retail Order Broker)
7.4.0 (Oracle Communications Unified Inventory Management)
7 (Red Hat JBoss Fuse)
15.1 (OpenSUSE Leap)
12.2.1.3.0 (Oracle Data Integrator)
4.4.0.0.0 (Utilities Framework)
4.2.0.3.0 (Utilities Framework)
4.2.0.2.0 (Utilities Framework)
13.3.0.1 (Application Testing Suite)
- (Red Hat Software Collections)
7 (JBoss Enterprise Application Platform)
7 (Red Hat Single Sign-On)
- (JBoss Enterprise Application Platform Continuous Delivery)
7.3 (Oracle Communications Unified Inventory Management)
7.4 (Oracle Communications Unified Inventory Management)
7 (Red Hat Descision Manager)
18.0 (Oracle Retail Order Broker)
15.0 (Retail Integration Bus)
16.0 (Retail Integration Bus)
12.2.1.4.0 (WebCenter Portal)
19.0 (Oracle Retail Order Broker)
9.3.3 (Oracle Agile PLM)
9.3.5 (Oracle Agile PLM)
7.3 for RHEL 6 (JBoss Enterprise Application Platform)
7.3 for RHEL 7 (JBoss Enterprise Application Platform)
7.3 for RHEL 8 (JBoss Enterprise Application Platform)
12.1 (Rapid Planning)
12.2 (Rapid Planning)
от 8.0.6 до 8.1.0 включительно (Financial Services Analytical Applications Infrastructure)
от 17.1.0.0 до 17.12.17.1 включительно (Primavera P6 Enterprise Project Portfolio Management)
от 18.1.0.0 до 18.8.19 включительно (Primavera P6 Enterprise Project Portfolio Management)
от 16.1.0.0 до 16.2.20.1 включительно (Primavera P6 Enterprise Project Portfolio Management)
от 2.0.0 до 2.0.3 (dom4j)
от 2.1.о до 2.1.3 (dom4j)
7 (Red Hat Process Automation)
от 19.12.0 до 19.12.6 включительно (Primavera P6 Enterprise Project Portfolio Management)
12.2.1.4.0 (Business Process Management Suite)
от 8.0.0 до 8.2.2 включительно (Communications Diameter Signaling Router)
от 2.4.0 до 2.10.0 включительно (Banking Platform)
2.2.0.0.0 (Utilities Framework)
от 4.3.0.1.0 до 4.3.0.6.0 включительно (Utilities Framework)
3.9m0p1 (Communications Application Session Controller)
9.0 (Oracle Health Sciences Empirica Signal)
19.1 (Oracle Retail Order Broker)
14.0.4 (Oracle Retail Price Management Security)
14.1.3.0 (Oracle Retail Price Management Security)
15.0.3.0 (Oracle Retail Price Management Security)
16.0.3.0 (Oracle Retail Price Management Security)
4.4.0.2.0 (Utilities Framework)
19.0 (Oracle Retail Customer Management and Segmentation Foundation)
12.2.1.4.0 (Oracle Data Integrator)
3.0.1 (Oracle Health Sciences Information Manager)
11.1.1.9.0 (Enterprise Data Quality)
12.2.1.3.0 (Enterprise Data Quality)
до 2.4.2 (ОСОН ОСнова Оnyx)
12.4 (РОСА ХРОМ)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Сетевое программное средство
ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 7
Novell Inc. OpenSUSE Leap 15.1
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для dom4j:
https://github.com/dom4j/dom4j/commit/a8228522a99a02146106672a34c104adbda5c658
https://github.com/dom4j/dom4j/commits/version-2.0.3
https://github.com/dom4j/dom4j/issues/87
https://github.com/dom4j/dom4j/releases/tag/version-2.1.3
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-10683
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00061.html
Для ОСОН Основа:
Обновление программного обеспечения dom4j до версии 2.1.3-1
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2454
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 92%
0.08302
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
ubuntu
почти 6 лет назад
dom4j before 2.0.3 and 2.1.x before 2.1.3 allows external DTDs and External Entities by default, which might enable XXE attacks. However, there is popular external documentation from OWASP showing how to enable the safe, non-default behavior in any application that uses dom4j.
CVSS3: 7.4
redhat
почти 6 лет назад
dom4j before 2.0.3 and 2.1.x before 2.1.3 allows external DTDs and External Entities by default, which might enable XXE attacks. However, there is popular external documentation from OWASP showing how to enable the safe, non-default behavior in any application that uses dom4j.
CVSS3: 9.8
nvd
почти 6 лет назад
dom4j before 2.0.3 and 2.1.x before 2.1.3 allows external DTDs and External Entities by default, which might enable XXE attacks. However, there is popular external documentation from OWASP showing how to enable the safe, non-default behavior in any application that uses dom4j.
CVSS3: 9.8
debian
почти 6 лет назад
dom4j before 2.0.3 and 2.1.x before 2.1.3 allows external DTDs and Ext ...
EPSS
Процентиль: 92%
0.08302
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2