Уязвимость BDU:2023-05939

Идентификатор: BDU:2023-05939.

Наименование уязвимости: Уязвимость программного средства для управления устройствами в Интернете вещей (IoT) Eclipse Leshan, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку.

Описание уязвимости: Уязвимость программного средства для управления устройствами в Интернете вещей (IoT) Eclipse Leshan связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить XXE-атаку
Уязвимое ПО: Прикладное ПО информационных систем Eclipse Foundation Eclipse Leshan от 1.4.2 до 1.5.0 | Прикладное ПО информационных систем Eclipse Foundation Eclipse Leshan от 2.0.0-М1 до 2.0.0-М13 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 31.08.2023.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Обновление программного обеспечения Eclipse Leshan де версии 1.5.0 и 2.0.0-M13 или выше.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-41034.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/eclipse-leshan/leshan/security/advisories/GHSA-wc9j-gc65-3cm7
https://vuldb.com/ru/?id.238523