Описание
Уязвимость компонентов GanttProjectReader и PhoenixReader библиотеки MPXJ связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести XXE-атаки
Вендор
Oracle Corp.
Сообщество свободного программного обеспечения
Siemens AG
Наименование ПО
Primavera Unifier
MPXJ
COMOS
Версия ПО
16.2 (Primavera Unifier)
16.1 (Primavera Unifier)
18.8 (Primavera Unifier)
19.12 (Primavera Unifier)
от 17.7 до 17.12 включительно (Primavera Unifier)
20.12 (Primavera Unifier)
до 8.1.3 включительно (MPXJ)
до 10.4.4 (COMOS)
Тип ПО
Прикладное ПО информационных систем
Средство АСУ ТП
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Обновление библиотеки MPXJ до актуальной версии
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
Для продуктов Siemens:
https://cert-portal.siemens.com/productcert/html/ssa-137900.html
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
- SSA
EPSS
Процентиль: 81%
0.01519
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
nvd
больше 5 лет назад
MPXJ through 8.1.3 allows XXE attacks. This affects the GanttProjectReader and PhoenixReader components.
CVSS3: 9.8
github
почти 5 лет назад
Improper Restriction of XML External Entity Reference in MPXJ
EPSS
Процентиль: 81%
0.01519
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2