Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-00711

Опубликовано: 12 нояб. 2020
Источник: fstec
CVSS3: 6.1
CVSS2: 5.8
EPSS Низкий

Описание

Уязвимость каркаса для веб-сервисов Apache CXF связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки с помощью параметра styleSheetPath

Вендор

Oracle Corp.
Red Hat Inc.
Apache Software Foundation

Наименование ПО

PeopleSoft Enterprise PeopleTools
Oracle Communications Messaging Server
Jboss Fuse
Utilities Framework
OpenShift Application Runtimes
Red Hat Single Sign-On
Red Hat Descision Manager
Red Hat Process Automation
CXF
Oracle Retail Order Broker Cloud Service
Communications Application Session Controller
JD Edwards EnterpriseOne Tools

Версия ПО

8.56 (PeopleSoft Enterprise PeopleTools)
8.57 (PeopleSoft Enterprise PeopleTools)
8.1 (Oracle Communications Messaging Server)
7 (Jboss Fuse)
4.4.0.0.0 (Utilities Framework)
4.3.0.6.0 (Utilities Framework)
- (OpenShift Application Runtimes)
7 (Red Hat Single Sign-On)
7 (Red Hat Descision Manager)
8.58 (PeopleSoft Enterprise PeopleTools)
8.0.2 (Oracle Communications Messaging Server)
7 (Red Hat Process Automation)
4.4.0.2.0 (Utilities Framework)
до 3.3.8 (CXF)
от 3.4.0 до 3.4.1 (CXF)
15.0 (Oracle Retail Order Broker Cloud Service)
3.9m0p3 (Communications Application Session Controller)
до 9.2.5.3 (JD Edwards EnterpriseOne Tools)
4.4.0.3.0 (Utilities Framework)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache CXF:
http://cxf.apache.org/security-advisories.data/CVE-2020-13954.txt.asc?version=1&modificationDate=1605183670659&api=v2
https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cannounce.apache.org%3E
https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cdev.cxf.apache.org%3E
https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cusers.cxf.apache.org%3E
https://lists.apache.org/thread.html/r81a41a2915985d49bc3ea57dde2018b03584a863878a8532a89f993f@%3Cusers.cxf.apache.org%3E
https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuapr2021.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-13954

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 92%
0.08411
Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2020-13954

CVSS3: 6.1
redhat
около 5 лет назад

By default, Apache CXF creates a /services page containing a listing of the available endpoint names and addresses. This webpage is vulnerable to a reflected Cross-Site Scripting (XSS) attack via the styleSheetPath, which allows a malicious actor to inject javascript into the web page. This vulnerability affects all versions of Apache CXF prior to 3.4.1 and 3.3.8. Please note that this is a separate issue to CVE-2019-17573.

nvd логотип

CVE-2020-13954

CVSS3: 6.1
nvd
около 5 лет назад

By default, Apache CXF creates a /services page containing a listing of the available endpoint names and addresses. This webpage is vulnerable to a reflected Cross-Site Scripting (XSS) attack via the styleSheetPath, which allows a malicious actor to inject javascript into the web page. This vulnerability affects all versions of Apache CXF prior to 3.4.1 and 3.3.8. Please note that this is a separate issue to CVE-2019-17573.

github логотип

GHSA-64x2-gq24-75pv

CVSS3: 6.1
github
почти 5 лет назад

Cross-site scripting in Apache CXF

EPSS

Процентиль: 92%
0.08411
Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2