Уязвимость BDU:2017-02261

Идентификатор: BDU:2017-02261.

Наименование уязвимости: Уязвимость средства администрирования системы электронного документооборота OpenText Documentum Administrator, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю читать произвольные файлы или вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость средства администрирования системы электронного документооборота OpenText Documentum Administrator связана с неверным ограничением XML-ссылок на внешние объекты (XML external entity, XXE). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, читать произвольные файлы, вызвать отказ в обслуживании или, в случае использования операционной системы Windows, получить хэш-ключи пользователя, который запускает Documentum
Уязвимое ПО: Сетевое программное средство OpenText Documentum Administrator 7.2.0180.0055 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 24.09.2017.
CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:N/A:P
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)

Возможные меры по устранению:
Использование рекомендаций:
https://knowledge.opentext.com/knowledge/llisapi.dll/Open/68982774.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2017-14526.
Прочая информация: —
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://cxsecurity.com/issue/WLB-2017090218
http://seclists.org/fulldisclosure/2017/Sep/58