Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-04802

Опубликовано: 10 июн. 2019
Источник: fstec
CVSS3: 9
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость компонента Picketlink платформы JBoss Enterprise Application Platform существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки

Вендор

Red Hat Inc.

Наименование ПО

JBoss Enterprise Application Platform

Версия ПО

7.2 for RHEL 6 (JBoss Enterprise Application Platform)
7.2 for RHEL 7 (JBoss Enterprise Application Platform)
7.2 for RHEL 8 (JBoss Enterprise Application Platform)
7.3 for RHEL 6 (JBoss Enterprise Application Platform)
7.3 for RHEL 7 (JBoss Enterprise Application Platform)
7.3 for RHEL 8 (JBoss Enterprise Application Platform)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Для платформы JBoss Enterprise Application Platform использование рекомендаций производителя:
https://access.redhat.com/errata/RHSA-2019:1424
https://access.redhat.com/errata/RHSA-2019:1419
https://access.redhat.com/errata/RHSA-2019:1420
https://access.redhat.com/errata/RHSA-2019:1421
https://access.redhat.com/errata/RHSA-2019:1424

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 60%
0.00403
Низкий

9 Critical

CVSS3

8.5 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2019-3873

CVSS3: 6.4
redhat
больше 6 лет назад

It was found that Picketlink as shipped with Jboss Enterprise Application Platform 7.2 would accept an xinclude parameter in SAMLresponse XML. An attacker could use this flaw to send a URL to achieve cross-site scripting or possibly conduct further attacks.

nvd логотип

CVE-2019-3873

CVSS3: 6.4
nvd
больше 6 лет назад

It was found that Picketlink as shipped with Jboss Enterprise Application Platform 7.2 would accept an xinclude parameter in SAMLresponse XML. An attacker could use this flaw to send a URL to achieve cross-site scripting or possibly conduct further attacks.

github логотип

GHSA-59jq-66fv-jgww

CVSS3: 9
github
больше 3 лет назад

It was found that Picketlink as shipped with Jboss Enterprise Application Platform 7.2 would accept an xinclude parameter in SAMLresponse XML. An attacker could use this flaw to send a URL to achieve cross-site scripting or possibly conduct further attacks.

EPSS

Процентиль: 60%
0.00403
Низкий

9 Critical

CVSS3

8.5 High

CVSS2