Уязвимость в PeopleSoft Enterprise PeopleTools продукте Oracle PeopleSoft (компонент: XMLPublisher). Поддерживаемые версии, подверженные уя…
Уязвимость в PeopleSoft Enterprise PeopleTools продукте Oracle PeopleSoft (компонент: XMLPublisher). Поддерживаемые версии, подверженные уязвимости: 8.59, 8.60 и 8.61. Легко эксплуатируемая уязвимость позволяет злоумышленнику с низкими привилегиями, имеющему сетевой доступ через HTTP, скомпрометировать PeopleSoft Enterprise PeopleTools. Успешные атаки этой уязвимости могут привести к захвату контроля над PeopleSoft Enterprise PeopleTools. CVSS 3.1 Base Score 8.8 (воздействие на конфиденциальность, целостность и доступность). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
Продукт обрабатывает XML-документ, который может содержать XML-сущности с URI, разрешающимися в документы за пределами предусмотренной сферы контроля, из-за чего продукт включает некорректные документы в свой вывод.
https://cwe.mitre.org/data/definitions/611.html →Открыть в коллекции CWE →Данная атака использует свойство замены сущностей в ряде языков сериализации данных (например, XML, YAML и т. д.), при котором значением замены является URI. Специально сформированный файл может содержать ссылку на URI, потребление которого требует значительных ресурсов, что создаёт условие отказа в обслуживании. Это может привести к зависанию, аварийному завершению системы или выполнению произвольного кода в зависимости от URI.
https://capec.mitre.org/data/definitions/221.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| peoplesoft_enterprise_peopletools | * | Отслеживается |