Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-13809

Опубликовано: 24 окт. 2024
Источник: fstec
CVSS3: 6.4
CVSS2: 5.5
EPSS Низкий

Описание

Уязвимость фреймворка для корпоративных веб-приложений Jmix связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Haulmont

Наименование ПО

Jmix

Версия ПО

от 1.0.0 до 1.6.1 включительно (Jmix)
от 2.0.0 до 2.3.4 включительно (Jmix)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/jmix-framework/jmix/commit/6a66aa3adb967159a30d703e80403406f4c8f7a2
https://github.com/jmix-framework/jmix/commit/c589ef4e2b25620770b8036f4ad05f1a6250cb6a
https://github.com/jmix-framework/jmix/commit/cc97e6ff974b9e7af8160fab39cc5866169daa37
https://github.com/jmix-framework/jmix/commit/f4e6fb05bd245cf36f3e9319aaa0fcd540d024aa
https://github.com/jmix-framework/jmix/releases

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 33%
0.00134
Низкий

6.4 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-32951

CVSS3: 6.4
nvd
10 месяцев назад

Jmix is a set of libraries and tools to speed up Spring Boot data-centric application development. In versions 1.0.0 to 1.6.1 and 2.0.0 to 2.3.4, the input parameter, which consists of a file path and name, can be manipulated to return the Content-Type header with text/html if the name part ends with .html. This could allow malicious JavaScript code to be executed in the browser. For a successful attack, a malicious file needs to be uploaded beforehand. This issue has been patched in versions 1.6.2 and 2.4.0. A workaround is provided on the Jmix documentation website.

github логотип

GHSA-x27v-f838-jh93

CVSS3: 6.4
github
10 месяцев назад

io.jmix.rest:jmix-rest allows XSS in the /files Endpoint of the Generic REST API

EPSS

Процентиль: 33%
0.00134
Низкий

6.4 Medium

CVSS3

5.5 Medium

CVSS2