Уязвимость в продукте Oracle Web Applications Desktop Integrator из Oracle E-Business Suite (компонент: XML input). Поддерживаемые версии: …
Уязвимость в продукте Oracle Web Applications Desktop Integrator из Oracle E-Business Suite (компонент: XML input). Поддерживаемые версии: 12.2.3-12.2.13. Легко эксплуатируемая уязвимость позволяет злоумышленнику с низкими привилегиями, имеющему сетевой доступ через HTTP, скомпрометировать Oracle Web Applications Desktop Integrator. Успешные атаки этой уязвимости могут привести к несанкционированному доступу на чтение к подмножеству доступных данных Oracle Web Applications Desktop Integrator. Базовая оценка CVSS 3.1: 4.3 (воздействие на конфиденциальность). Вектор CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N).
Продукт обрабатывает XML-документ, который может содержать XML-сущности с URI, разрешающимися в документы за пределами предусмотренной сферы контроля, из-за чего продукт включает некорректные документы в свой вывод.
https://cwe.mitre.org/data/definitions/611.html →Открыть в коллекции CWE →Данная атака использует свойство замены сущностей в ряде языков сериализации данных (например, XML, YAML и т. д.), при котором значением замены является URI. Специально сформированный файл может содержать ссылку на URI, потребление которого требует значительных ресурсов, что создаёт условие отказа в обслуживании. Это может привести к зависанию, аварийному завершению системы или выполнению произвольного кода в зависимости от URI.
https://capec.mitre.org/data/definitions/221.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| web_applications_desktop_integrator | * | Отслеживается |