Проблема была обнаружена в QlikView Server до 11.20 SR19, 12.00 и 12.10 до 12.10 SR11, 12.20 до SR9 и 12.30 до SR2; и в установках Qlik Sen…
Проблема была обнаружена в QlikView Server до 11.20 SR19, 12.00 и 12.10 до 12.10 SR11, 12.20 до SR9 и 12.30 до SR2; и в установках Qlik Sense Enterprise и Qlik Analytics Platform, в которых отсутствуют следующие уровни исправлений: February 2018 Patch 4, April 2018 Patch 3, June 2018 Patch 3, September 2018 Patch 4, November 2018 Patch 4 или February 2019 Patch 2. Аутентифицированный пользователь может обойти предполагаемые ограничения на чтение файлов с помощью специально созданных запросов браузера.
Продукт формирует полностью или частично оператор языка выражений (EL) во фреймворке, например Java Server Page (JSP), используя входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные элементы, способные изменить логику оператора EL до его выполнения.
https://cwe.mitre.org/data/definitions/917.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| qlik_analytics | * | Отслеживается |
| qlik_sense | * | Отслеживается |
| qlikview_server | * | Отслеживается |