Описание
Уязвимость функции в common/InputStreamHelper.java библиотеки MPXJ существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять запись файлов в произвольные места
Вендор
Oracle Corp.
Сообщество свободного программного обеспечения
Siemens AG
Наименование ПО
Primavera Unifier
MPXJ
COMOS
Версия ПО
16.2 (Primavera Unifier)
16.1 (Primavera Unifier)
18.8 (Primavera Unifier)
19.12 (Primavera Unifier)
от 17.7 до 17.12 включительно (Primavera Unifier)
20.12 (Primavera Unifier)
до 8.3.5 (MPXJ)
до 10.4.4 (COMOS)
Тип ПО
Прикладное ПО информационных систем
Средство АСУ ТП
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости
Обновление библиотеки MPXJ до более актуальной версии
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
Для продуктов Siemens:
https://cert-portal.siemens.com/productcert/html/ssa-137900.html
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
- SSA
EPSS
Процентиль: 70%
0.00646
Низкий
5.3 Medium
CVSS3
5 Medium
CVSS2
Связанные уязвимости
CVSS3: 5.3
nvd
около 5 лет назад
common/InputStreamHelper.java in Packwood MPXJ before 8.3.5 allows directory traversal in the zip stream handler flow, leading to the writing of files to arbitrary locations.
EPSS
Процентиль: 70%
0.00646
Низкий
5.3 Medium
CVSS3
5 Medium
CVSS2