Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2021-00711

CVSS: 6.1

12.11.2020

Уязвимость каркаса для веб-сервисов Apache CXF, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки

Уязвимость каркаса для веб-сервисов Apache CXF связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки с помощью параметра styleSheetPath

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	12.11.2020
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Инъекция
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для Apache CXF: http://cxf.apache.org/security-advisories.data/CVE-2020-13954.txt.asc?version=1&;modificationDate=1605183670659&api=v2 https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cannounce.apache.org%3E https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cdev.cxf.apache.org%3E https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cusers.cxf.apache.org%3E https://lists.apache.org/thread.html/r81a41a2915985d49bc3ea57dde2018b03584a863878a8532a89f993f@%3Cusers.cxf.apache.org%3E https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpujan2021.html https://www.oracle.com/security-alerts/cpuapr2021.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-13954

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-79	CWE-79 Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting')

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2020-13954	Apache CXF Reflected XSS in the services listing page via the styleSheetPath

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
5.8	MEDIUM	2.0	AV:N/AC:M/Au:N/C:P/I:P/A:N
6.1	MEDIUM	3.0	AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2020-13954

Вендор:	Oracle Corp. Red Hat Inc. Apache Software Foundation
Тип ПО:	Прикладное ПО информационных систем Сетевое программное средство
Наименование ПО:	PeopleSoft Enterprise PeopleTools Oracle Communications Messaging Server Jboss Fuse Utilities Framework OpenShift Application Runtimes Red Hat Single Sign-On Red Hat Descision Manager Red Hat Process Automation Apache CXF Oracle Retail Order Broker Cloud Service Communications Application Session Controller JD Edwards EnterpriseOne Tools
Версия ПО:	8.56 (PeopleSoft Enterprise PeopleTools) 8.57 (PeopleSoft Enterprise PeopleTools) 8.1 (Oracle Communications Messaging Server) 7 (Jboss Fuse) 4.4.0.0.0 (Utilities Framework) 4.3.0.6.0 (Utilities Framework) - (OpenShift Application Runtimes) 7 (Red Hat Single Sign-On) 7 (Red Hat Descision Manager) 8.58 (PeopleSoft Enterprise PeopleTools) 8.0.2 (Oracle Communications Messaging Server) 7 (Red Hat Process Automation) 4.4.0.2.0 (Utilities Framework) до 3.3.8 (Apache CXF) от 3.4.0 до 3.4.1 (Apache CXF) 15.0 (Oracle Retail Order Broker Cloud Service) 3.9m0p3 (Communications Application Session Controller) до 9.2.5.3 (JD Edwards EnterpriseOne Tools) 4.4.0.3.0 (Utilities Framework)
Ссылки на источники:	http://cxf.apache.org/security-advisories.data/CVE-2020-13954.txt.asc?version=1&modificationDate=1605183670659&a... https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cannounce.apache.org%3E... https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cdev.cxf.apache.org%3E https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd100364cd8a15f0b3ec@%3Cusers.cxf.apache.org%3... https://lists.apache.org/thread.html/r81a41a2915985d49bc3ea57dde2018b03584a863878a8532a89f993f@%3Cusers.cxf.apache.org%3... https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d https://www.oracle.com/security-alerts/cpujan2021.html https://access.redhat.com/security/cve/cve-2020-13954 https://www.oracle.com/security-alerts/cpuapr2021.html

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2021-00711

BDU:2021-00711

Идентификатор типа ошибки

Идентификаторы CVE уязвимостей

CVSS

Идентификаторы других систем описаний уязвимостей