CVE-2017-14759

Опубликовано: 03 окт. 2017

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

OpenText Document Sciences xPression (formerly EMC Document Sciences xPression) v4.5SP1 Patch 13 (older versions might be affected as well) is prone to an XML External Entity vulnerability: /xFramework/services/QuickDoc.QuickDocHttpSoap11Endpoint/. An unauthenticated user is able to read directory listings or system files, or cause SSRF or Denial of Service.

Ссылки

http://seclists.org/fulldisclosure/2017/Sep/97
Mailing List
Third Party Advisory
https://knowledge.opentext.com/knowledge/llisapi.dll/Open/68982774
Permissions Required
Vendor Advisory
http://seclists.org/fulldisclosure/2017/Sep/97
Mailing List
Third Party Advisory
https://knowledge.opentext.com/knowledge/llisapi.dll/Open/68982774
Permissions Required
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:opentext:document_sciences_xpression:*:sp1_p13:*:*:*:*:*:*

Версия до 4.5 (включая)

EPSS

Процентиль: 64%

0.00464

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-611

Связанные уязвимости

GHSA-p2jv-394x-276f

CVSS3: 9.8

github

больше 3 лет назад

BDU:2017-02355

CVSS3: 9.8

fstec

больше 8 лет назад

Уязвимость системы автоматизации деятельности предприятия Document Sciences xPression, вызванная неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить доступ к системным файлам, провести SSRF-атаку или вызвать отказ в обслуживании

EPSS

Процентиль: 64%

0.00464

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-611