Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-00682

Опубликовано: 29 янв. 2018
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость Java-библиотеки для чтения и записи документов MS Office Apache POI связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Oracle Corp.
Red Hat Inc.
Apache Software Foundation

Наименование ПО

PeopleSoft Enterprise PeopleTools
Oracle Endeca Information Discovery Integrator
Oracle Communications Unified Inventory Management
Oracle Utilities Network Management System
Enterprise Manager Base Platform
Application Testing Suite
Retail Xstore Point of Service
Jboss Fuse
Oracle Endeca Information Discovery Studio
Oracle FLEXCUBE Private Banking
Communications Diameter Signaling Router
Oracle Agile PLM
Insurance Policy Administration J2EE
Enterprise Data Quality
POI
Oracle Retail Fusion Platform
Oracle Retail Sales Audit

Версия ПО

8.56 (PeopleSoft Enterprise PeopleTools)
8.57 (PeopleSoft Enterprise PeopleTools)
3.2.0 (Oracle Endeca Information Discovery Integrator)
7.4.0 (Oracle Communications Unified Inventory Management)
1.12.0.3 (Oracle Utilities Network Management System)
12.1.0.5 (Enterprise Manager Base Platform)
13.3.0.1 (Application Testing Suite)
7.1 (Retail Xstore Point of Service)
6.3 (Jboss Fuse)
12.5.0.3 (Application Testing Suite)
13.1.0.1 (Application Testing Suite)
13.2.0.1 (Application Testing Suite)
13.3.0.0 (Enterprise Manager Base Platform)
3.2.0 (Oracle Endeca Information Discovery Studio)
12.0 (Oracle FLEXCUBE Private Banking)
12.1 (Oracle FLEXCUBE Private Banking)
8.0.0 (Communications Diameter Signaling Router)
8.1.0 (Communications Diameter Signaling Router)
8.2.0 (Communications Diameter Signaling Router)
8.2.1 (Communications Diameter Signaling Router)
2.3.0.1 (Oracle Utilities Network Management System)
2.3.0.2 (Oracle Utilities Network Management System)
9.3.3 (Oracle Agile PLM)
9.3.5 (Oracle Agile PLM)
9.3.6 (Oracle Agile PLM)
9.3.4 (Oracle Agile PLM)
10.2.0 (Insurance Policy Administration J2EE)
10.2.4 (Insurance Policy Administration J2EE)
13.4.0.0 (Enterprise Manager Base Platform)
11.1.1.9.0 (Enterprise Data Quality)
12.2.1.3.0 (Enterprise Data Quality)
до 3.17 (POI)
5.5 (Oracle Retail Fusion Platform)
7.3.0 (Oracle Communications Unified Inventory Management)
2.4.0.0 (Oracle Utilities Network Management System)
14.0 (Oracle Retail Sales Audit)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache POI:
https://lists.apache.org/thread.html/453d9af5dbabaccd9afb58d27279a9dbfe8e35f4e5ea1645ddd6960b@%3Cdev.poi.apache.org%3E
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuapr2021.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2017-12626

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 79%
0.01293
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-12626

CVSS3: 7.5
ubuntu
около 8 лет назад

Apache POI in versions prior to release 3.17 are vulnerable to Denial of Service Attacks: 1) Infinite Loops while parsing crafted WMF, EMF, MSG and macros (POI bugs 61338 and 61294), and 2) Out of Memory Exceptions while parsing crafted DOC, PPT and XLS (POI bugs 52372 and 61295).

redhat логотип

CVE-2017-12626

CVSS3: 5.3
redhat
около 8 лет назад

Apache POI in versions prior to release 3.17 are vulnerable to Denial of Service Attacks: 1) Infinite Loops while parsing crafted WMF, EMF, MSG and macros (POI bugs 61338 and 61294), and 2) Out of Memory Exceptions while parsing crafted DOC, PPT and XLS (POI bugs 52372 and 61295).

nvd логотип

CVE-2017-12626

CVSS3: 7.5
nvd
около 8 лет назад

Apache POI in versions prior to release 3.17 are vulnerable to Denial of Service Attacks: 1) Infinite Loops while parsing crafted WMF, EMF, MSG and macros (POI bugs 61338 and 61294), and 2) Out of Memory Exceptions while parsing crafted DOC, PPT and XLS (POI bugs 52372 and 61295).

debian логотип

CVE-2017-12626

CVSS3: 7.5
debian
около 8 лет назад

Apache POI in versions prior to release 3.17 are vulnerable to Denial ...

github логотип

GHSA-523c-xh4g-mh5m

CVSS3: 7.5
github
около 5 лет назад

Denial of Service in Apache POI

EPSS

Процентиль: 79%
0.01293
Низкий

7.5 High

CVSS3

7.8 High

CVSS2