BDU:2021-01018

Опубликовано: 15 июн. 2020

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость библиотеки для работы с SVG-изображениями Apache Batik связана с некорректной обработкой данных в атрибутах «xlink: href». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять CSRF-атаки с помощью специально сформированных запросов GET

Вендор

Oracle Corp.

Novell Inc.

Red Hat Inc.

Apache Software Foundation

АО «Концерн ВНИИНС»

Наименование ПО

API Gateway

Enterprise Repository

SUSE Linux Enterprise Software Development Kit

Oracle Retail Order Broker

Instantis EnterpriseTrack

Red Hat JBoss Fuse

OpenSUSE Leap

Hospitality Opera 5

Red Hat Descision Manager

Communications MetaSolv Solution

Financial Services Analytical Applications Infrastructure

Fusion Middleware MapViewer

Red Hat Process Automation

Retail Integration Bus

Communications Application Session Controller

Batik

JD Edwards EnterpriseOne Tools

ОС ОН «Стрелец»

Версия ПО

11.1.2.4.0 (API Gateway)

11.1.1.7.0 (Enterprise Repository)

12 SP4 (SUSE Linux Enterprise Software Development Kit)

15.0 (Oracle Retail Order Broker)

16.0 (Oracle Retail Order Broker)

17.1 (Instantis EnterpriseTrack)

17.2 (Instantis EnterpriseTrack)

17.3 (Instantis EnterpriseTrack)

7 (Red Hat JBoss Fuse)

15.1 (OpenSUSE Leap)

12 SP5 (SUSE Linux Enterprise Software Development Kit)

5.5 (Hospitality Opera 5)

7 (Red Hat Descision Manager)

6.3.0 (Communications MetaSolv Solution)

от 8.0.6 до 8.1.0 включительно (Financial Services Analytical Applications Infrastructure)

12.2.1.4.0 (Fusion Middleware MapViewer)

7 (Red Hat Process Automation)

15.0.3 (Retail Integration Bus)

3.9m0p2 (Communications Application Session Controller)

6.3.1 (Communications MetaSolv Solution)

до 1.13 (Batik)

5.6 (Hospitality Opera 5)

до 9.2.4.0 (JD Edwards EnterpriseOne Tools)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

ПО программно-аппаратных средств защиты

Прикладное ПО информационных систем

Операционная система

Сетевое программное средство

Операционные системы и аппаратные платформы

Novell Inc. OpenSUSE Leap 15.1

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Apache:

https://lists.apache.org/thread.html/rab94fe68b180d2e2fba97abf6fe1ec83cff826be25f86cd90f047171@%3Ccommit.myfaces.apache.org%3E

https://lists.apache.org/thread.html/rcab14a9ec91aa4c151e0729966282920423eff50a22759fd21db6509@%3Ccommit.myfaces.apache.org%3E

Для программных продуктов Oracle:

https://www.oracle.com/security-alerts/cpujan2021.htm

lhttps://www.oracle.com/security-alerts/cpuapr2021.html

Для программных продуктов Red Hat.:

https://access.redhat.com/security/cve/cve-2019-17566

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2019-17566/

Для ОС ОН «Стрелец»:

Обновление программного обеспечения batik до версии 1.8-4+deb9u2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-17566
CVE

EPSS

Процентиль: 74%

0.00815

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2019-17566

CVSS3: 7.5

ubuntu

около 5 лет назад

Apache Batik is vulnerable to server-side request forgery, caused by improper input validation by the "xlink:href" attributes. By using a specially-crafted argument, an attacker could exploit this vulnerability to cause the underlying server to make arbitrary GET requests.

CVE-2019-17566

CVSS3: 7.5

redhat

больше 5 лет назад

CVE-2019-17566

CVSS3: 7.5

nvd

около 5 лет назад

CVE-2019-17566

CVSS3: 7.5

debian

около 5 лет назад

Apache Batik is vulnerable to server-side request forgery, caused by i ...

openSUSE-SU-2020:0851-1

suse-cvrf

больше 5 лет назад

Security update for xmlgraphics-batik

EPSS

Процентиль: 74%

0.00815

Низкий

7.5 High

CVSS3

7.8 High

CVSS2