IBM Sterling External Authentication Server 6.0.1, 6.0.0, 2.4.3.2 и 2.4.2, а также IBM Sterling Secure Proxy 6.0.1, 6.0.0, 3.4.3 и 3.4.2 уя…
IBM Sterling External Authentication Server 6.0.1, 6.0.0, 2.4.3.2 и 2.4.2, а также IBM Sterling Secure Proxy 6.0.1, 6.0.0, 3.4.3 и 3.4.2 уязвимы к атаке внедрения внешних XML-сущностей (XXE) при обработке XML-данных. Удаленный злоумышленник может использовать эту уязвимость для раскрытия конфиденциальной информации или потребления ресурсов памяти. IBM X-Force ID: 181482.
Продукт обрабатывает XML-документ, который может содержать XML-сущности с URI, разрешающимися в документы за пределами предусмотренной сферы контроля, из-за чего продукт включает некорректные документы в свой вывод.
https://cwe.mitre.org/data/definitions/611.html →Открыть в коллекции CWE →Данная атака использует свойство замены сущностей в ряде языков сериализации данных (например, XML, YAML и т. д.), при котором значением замены является URI. Специально сформированный файл может содержать ссылку на URI, потребление которого требует значительных ресурсов, что создаёт условие отказа в обслуживании. Это может привести к зависанию, аварийному завершению системы или выполнению произвольного кода в зависимости от URI.
https://capec.mitre.org/data/definitions/221.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| sterling_external_authentication_server | * | Отслеживается |
| sterling_secure_proxy | * | Отслеживается |