Уязвимость в компоненте PeopleSoft Enterprise PeopleTools Oracle PeopleSoft Products (подкомпонент: Integration Broker). Поддерживаемые вер…
Уязвимость в компоненте PeopleSoft Enterprise PeopleTools Oracle PeopleSoft Products (подкомпонент: Integration Broker). Поддерживаемые версии, подверженные уязвимости: 8.54 и 8.55. Легко «эксплуатируемая» уязвимость позволяет неаутентифицированному злоумышленнику с сетевым доступом через HTTP скомпрометировать PeopleSoft Enterprise PeopleTools. Успешные атаки этой уязвимости могут привести к несанкционированному чтению подмножества доступных данных PeopleSoft Enterprise PeopleTools и несанкционированной возможности вызвать частичный отказ в обслуживании (частичный DOS) PeopleSoft Enterprise PeopleTools. CVSS 3.0 Базовая оценка 6.5 (воздействие на конфиденциальность и доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L).
Продукт обрабатывает XML-документ, который может содержать XML-сущности с URI, разрешающимися в документы за пределами предусмотренной сферы контроля, из-за чего продукт включает некорректные документы в свой вывод.
https://cwe.mitre.org/data/definitions/611.html →Открыть в коллекции CWE →Данная атака использует свойство замены сущностей в ряде языков сериализации данных (например, XML, YAML и т. д.), при котором значением замены является URI. Специально сформированный файл может содержать ссылку на URI, потребление которого требует значительных ресурсов, что создаёт условие отказа в обслуживании. Это может привести к зависанию, аварийному завершению системы или выполнению произвольного кода в зависимости от URI.
https://capec.mitre.org/data/definitions/221.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| peoplesoft_enterprise_peopletools | * | Отслеживается |