Описание
Уязвимость драйвера JDBC (PgJDBC) для подключения Java-программ к базе данных PostgreSQL связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки
Вендор
Red Hat Inc.
Fedora Project
PostgreSQL Global Development Group
АО "НППКТ"
Наименование ПО
Red Hat Enterprise Linux
Jboss Fuse
OpenShift Application Runtimes
Red Hat Descision Manager
Fedora
Red Hat Process Automation
Red Hat Integration Camel K
pgjdbc
Red Hat Integration
Red Hat AMQ Online
Quarkus
ОСОН ОСнова Оnyx
Версия ПО
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
7 (Jboss Fuse)
1.0 (OpenShift Application Runtimes)
7 (Red Hat Descision Manager)
32 (Fedora)
8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.1 Extended Update Support (Red Hat Enterprise Linux)
7 (Red Hat Process Automation)
- (Red Hat Integration Camel K)
до 42.2.13 (pgjdbc)
- (Red Hat Integration)
- (Red Hat AMQ Online)
до 1.5.2 включительно (Quarkus)
до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Сетевое средство
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Fedora Project Fedora 32
Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,7)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для PgJDBC:
https://jdbc.postgresql.org/documentation/changelog.html#version_42.2.13
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DCCAPM6FSNOC272DLSNQ6YHXS3OMHGJC/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-13692
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libpgjava до версии 42.2.5-2+deb10u2
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 85%
0.02469
Низкий
7.7 High
CVSS3
9 Critical
CVSS2
Связанные уязвимости
CVSS3: 7.7
ubuntu
около 5 лет назад
PostgreSQL JDBC Driver (aka PgJDBC) before 42.2.13 allows XXE.
CVSS3: 7.7
redhat
около 5 лет назад
PostgreSQL JDBC Driver (aka PgJDBC) before 42.2.13 allows XXE.
CVSS3: 7.7
nvd
около 5 лет назад
PostgreSQL JDBC Driver (aka PgJDBC) before 42.2.13 allows XXE.
CVSS3: 7.7
debian
около 5 лет назад
PostgreSQL JDBC Driver (aka PgJDBC) before 42.2.13 allows XXE.
EPSS
Процентиль: 85%
0.02469
Низкий
7.7 High
CVSS3
9 Critical
CVSS2