Уязвимость BDU:2017-02262

Идентификатор: BDU:2017-02262.

Наименование уязвимости: Уязвимость веб-интерфейса, обеспечивающего доступ к репозиторию OpenText Documentum Webtop, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю читать произвольные файлы или вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость веб-интерфейса, обеспечивающего доступ к репозиторию OpenText Documentum Webtop связана с неверным ограничением XML-ссылок на внешние объекты (XML external entity, XXE). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, читать произвольные файлы, вызвать отказ в обслуживании или, в случае использования операционной системы Windows, получить хэш-ключи пользователя, который запускает Documentum
Уязвимое ПО: Программное средство защиты OpenText Documentum Webtop 6.8.0160.0073 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 24.09.2017.
CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:N/A:P
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)

Возможные меры по устранению:
Использование рекомендаций:
https://knowledge.opentext.com/knowledge/llisapi.dll/Open/68982774.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2017-14527.
Прочая информация: —
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://cxsecurity.com/issue/WLB-2017090218
http://seclists.org/fulldisclosure/2017/Sep/58