Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-05182

Опубликовано: 10 окт. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость компонента Cascading Style Sheets (CSS) инструмента для создания интерактивной документации Swagger UI связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить межсайтовую сценарную атаку

Вендор

Oracle Corp.

Наименование ПО

Primavera Gateway
Banking Platform

Версия ПО

от 16.2.0 до 16.2.11 включительно (Primavera Gateway)
от 2.4.0 до 2.10.0 включительно (Banking Platform)
от 17.12.0 до 17.12.8 включительно (Primavera Gateway)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Swagger UI:
https://github.com/swagger-api/swagger-ui/releases/tag/v3.23.11
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.11565
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2019-17495

CVSS3: 9.8
nvd
больше 6 лет назад

A Cascading Style Sheets (CSS) injection vulnerability in Swagger UI before 3.23.11 allows attackers to use the Relative Path Overwrite (RPO) technique to perform CSS-based input field value exfiltration, such as exfiltration of a CSRF token value. In other words, this product intentionally allows the embedding of untrusted JSON data from remote servers, but it was not previously known that <style>@import within the JSON data was a functional attack method.

debian логотип

CVE-2019-17495

CVSS3: 9.8
debian
больше 6 лет назад

A Cascading Style Sheets (CSS) injection vulnerability in Swagger UI b ...

github логотип

GHSA-c427-hjc3-wrfw

CVSS3: 9.8
github
больше 6 лет назад

Cross-site scripting in Swagger-UI

EPSS

Процентиль: 93%
0.11565
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2