Описание
Уязвимость Java-библиотеки анализа, извлечения и управления данными в документах HTML jsoup связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки (XSS)
Вендор
Сообщество свободного программного обеспечения
Red Hat Inc.
Elastic NV
Наименование ПО
Debian GNU/Linux
Red Hat JBoss Fuse
Red Hat JBoss Enterprise Application Platform
Logstash
jsoup
Jboss BPM Suite
Версия ПО
10 (Debian GNU/Linux)
6 (Red Hat JBoss Fuse)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
6 (Red Hat JBoss Enterprise Application Platform)
8.12.1 (Logstash)
до 1.8.3 (jsoup)
6.2 (Jboss BPM Suite)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений
Использование рекомендаций:
Для jsoup:
https://github.com/jhy/jsoup/pull/582
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2015-6748
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2015-6748
Для Logstash:
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 83%
0.02044
Низкий
6.1 Medium
CVSS3
6.4 Medium
CVSS2
Связанные уязвимости
CVSS3: 6.1
ubuntu
больше 8 лет назад
Cross-site scripting (XSS) vulnerability in jsoup before 1.8.3.
redhat
больше 10 лет назад
Cross-site scripting (XSS) vulnerability in jsoup before 1.8.3.
CVSS3: 6.1
nvd
больше 8 лет назад
Cross-site scripting (XSS) vulnerability in jsoup before 1.8.3.
CVSS3: 6.1
debian
больше 8 лет назад
Cross-site scripting (XSS) vulnerability in jsoup before 1.8.3.
CVSS3: 6.1
github
больше 3 лет назад
Improper Neutralization of Input During Web Page Generation in Jsoup
EPSS
Процентиль: 83%
0.02044
Низкий
6.1 Medium
CVSS3
6.4 Medium
CVSS2