Cisco Unified Presence до версии 8.5(4) неправильно обнаруживает рекурсию во время расширения сущностей, что позволяет удаленным злоумышлен…
Cisco Unified Presence до версии 8.5(4) неправильно обнаруживает рекурсию во время расширения сущностей, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление памяти и ЦП, а также сбой процесса) через специально созданный XML-документ, содержащий большое количество вложенных ссылок на сущности, также известная как Bug IDs CSCtq89842 и CSCtq88547, проблема, аналогичная CVE-2003-1564.
Программный продукт использует XML-документы и допускает определение их структуры посредством DTD (Document Type Definition), однако не контролирует надлежащим образом количество рекурсивных определений сущностей.
https://cwe.mitre.org/data/definitions/776.html →Открыть в коллекции CWE →Злоумышленник передаёт целевому приложению данные, содержащие вложенное экспоненциальное расширение данных для формирования избыточно большого вывода. Многие языки форматов данных допускают определение структур, схожих с макросами, которые могут упрощать создание сложных структур. Однако данная возможность может быть использована злоупотребительно для создания чрезмерной нагрузки на вычислительные ресурсы процессора и памяти. Небольшое количество вложенных расширений может привести к экспоненциальному росту требований к памяти.
https://capec.mitre.org/data/definitions/197.html →Открыть в коллекции CAPEC →