Уязвимость BDU:2020-04949

Дата: 29.04.2020. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2020-04949.

Наименование уязвимости: Уязвимость библиотеки jQuery, существующая из-за недостаточной очистки предоставленных пользователем данных при передаче элементов <option>, позволяющая нарушителю осуществлять межсайтовые сценарные атаки.

Описание уязвимости: Уязвимость библиотеки jQuery существует из-за недостаточной очистки предоставленных пользователем данных при передаче элементов <option> в методы DOM jQuery. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки
Уязвимое ПО: СУБД Oracle Corp. Database 11.2.0.4 | СУБД Oracle Corp. Database 12.1.0.1 | СУБД Oracle Corp. Database 12.1.0.2 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Сетевое программное средство Oracle Corp. WebLogic Server 12.1.3.0.0 | СУБД Oracle Corp. Database 18c | Операционная система Debian GNU/Linux 9.0 | ПО виртуализации/ПО виртуального программно-аппаратного средства Red Hat Inc. Red Hat Virtualization 4 | Сетевое программное средство Oracle Corp. WebLogic Server 12.2.1.3.0 | Программное средство защиты Oracle Corp. WebCenter Sites 12.2.1.3.0 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Novell Inc. OpenSUSE Leap 15.1 | СУБД Oracle Corp. Database 19c | Операционная система Debian GNU/Linux 10.0 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 3.11 | Прикладное ПО информационных систем Red Hat Inc. Jboss Fuse 7 | Сетевое программное средство, ПО программно-аппаратного средства Oracle Corp. Application Testing Suite 13.3.0.1 | Операционная система Fedora Project Fedora 31 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Ceph Storage 3 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Software Collections — | Сетевое программное средство Red Hat Inc. Red Hat Single Sign-On 7 | Сетевое программное средство Oracle Corp. WebLogic Server 12.2.1.4.0 | Прикладное ПО информационных систем Oracle Corp. PeopleSoft Enterprise HCM Human Resources 9.2 | Прикладное ПО информационных систем Oracle Corp. Oracle Hospitality Materials Control 18.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Healthcare Translational Research 3.2.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Healthcare Translational Research 3.3.1 | Операционная система Fedora Project Fedora 32 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Storage 3 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Route Manager 8.1.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Route Manager 8.2.0 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway от 16.2.0 до 16.2.11 включительно | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 4 | ПО виртуализации/ПО виртуального программно-аппаратного средства Red Hat Inc. CloudForms Management Engine 5 | Сетевое программное средство Red Hat Inc. Ansible Tower 3 | ПО программно-аппаратного средства Red Hat Inc. Red Hat OpenStack Platform 16 (Train) | Прикладное ПО информационных систем Oracle Corp. Hyperion Financial Management 11.1.2.4 | Операционная система Novell Inc. OpenSUSE Leap 15.2 | Прикладное ПО информационных систем Red Hat Inc. Openshift Service Mesh 1.1 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Ceph Storage 4 | Прикладное ПО информационных систем Oracle Corp. Oracle Communications Session Route Manager 8.2.1 | Сетевое программное средство Oracle Corp. WebLogic Server 14.1.1.0.0 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway от 17.12.0 до 17.12.7 включительно | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway от 18.8.0 до 18.8.9 включительно | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway от 19.12.0 до 19.12.4 включительно | Прикладное ПО информационных систем Oracle Corp. Communications Billing and Revenue Management 7.5.0.23.0 | Прикладное ПО информационных систем Oracle Corp. Communications Billing and Revenue Management 12.0.0.3.0 | Программное средство защиты Oracle Corp. WebCenter Sites 12.2.1.4.0 | ПО виртуализации/ПО виртуального программно-аппаратного средства Red Hat Inc. Red Hat Virtualization Engine 4.4 | СУБД Oracle Corp. Database до 20.2 | Прикладное ПО информационных систем The jQuery Foundation jQuery от 1.0.3 до 3.5.0 | Операционная система Fedora Project Fedora 33 | Прикладное ПО информационных систем Oracle Corp. Oracle Banking Enterprise Collections от 2.7.0 до 2.8.0 включительно | Прикладное ПО информационных систем Oracle Corp. Oracle Healthcare Translational Research 3.3.2 | Прикладное ПО информационных систем Oracle Corp. Oracle Healthcare Translational Research 3.4.0 | Сетевое программное средство Oracle Corp. Communications WebRTC Session Controller 7.2 | Прикладное ПО информационных систем Oracle Corp. Enterprise Session Border Controller 8.4 | Прикладное ПО информационных систем Oracle Corp. Oracle Hospitality Simphony 18.1 | Прикладное ПО информационных систем Oracle Corp. Oracle Hospitality Simphony 18.2 | Прикладное ПО информационных систем Oracle Corp. Oracle Hospitality Simphony от 19.1.0 до 19.1.2 включительно | Прикладное ПО информационных систем Red Hat Inc. A-MQ Interconnect 1.y for RHEL 6 | Прикладное ПО информационных систем Red Hat Inc. A-MQ Interconnect 1.y for RHEL 7 | Прикладное ПО информационных систем Red Hat Inc. A-MQ Interconnect 1.y for RHEL 8 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 4.5 | Прикладное ПО информационных систем Oracle Corp. StorageTek Tape Analytics SW Tool 2.3.1 | Прикладное ПО информационных систем Oracle Corp. JD Edwards EnterpriseOne Orchestrator до 9.2.5.0 | Прикладное ПО информационных систем Oracle Corp. JD Edwards EnterpriseOne Tools до 9.2.5.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Agile Product Lifecycle Management for Process 6.1 | Прикладное ПО информационных систем Oracle Corp. Transportation Management 1.4.3 | Прикладное ПО информационных систем Oracle Corp. Siebel Mobile Applications до 20.12 включительно |

Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux 7 | Debian GNU/Linux 90 | Red Hat Enterprise Linux 8 | OpenSUSE Leap 151 | Debian GNU/Linux 100 | Fedora 31 | Fedora 32 | OpenSUSE Leap 152 | Fedora 33 |
Дата выявления: 29.04.2020.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,9)

Возможные меры по устранению:
Использование рекомендаций:
Для jQuery:
https://blog.jquery.com/2020/04/10/jquery-3-5-0-released/
https://jquery.com/upgrade-guide/3.5/

Для Fedora:
https://lists.fedoraproject.org/archives/list/[email protected]/message/AVKYXLWCLZBV2N7M46KYK4LVA5OXWPBY/
https://lists.fedoraproject.org/archives/list/[email protected]/message/QPN2L2XVQGUA2V5HNQJWHK3APSK3VN7K/
https://lists.fedoraproject.org/archives/list/[email protected]/message/SAPQVX3XDNPGFT26QAQ6AJIXZZBZ4CD4/
https://lists.fedoraproject.org/archives/list/[email protected]/message/SFP4UK4EGP4AFH2MWYJ5A5Z4I7XVFQ6B/

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00067.html
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00085.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11023

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-11023

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-11023.

Тип ошибки CWE: CWE-79
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://blog.jquery.com/2020/04/10/jquery-3-5-0-released/
https://jquery.com/upgrade-guide/3.5/
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://lists.fedoraproject.org/archives/list/[email protected]/message/AVKYXLWCLZBV2N7M46KYK4LVA5OXWPBY/
https://lists.fedoraproject.org/archives/list/[email protected]/message/QPN2L2XVQGUA2V5HNQJWHK3APSK3VN7K/
https://lists.fedoraproject.org/archives/list/[email protected]/message/SAPQVX3XDNPGFT26QAQ6AJIXZZBZ4CD4/
https://lists.fedoraproject.org/archives/list/[email protected]/message/SFP4UK4EGP4AFH2MWYJ5A5Z4I7XVFQ6B/
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00067.html
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00085.html
https://access.redhat.com/security/cve/cve-2020-11023
https://security-tracker.debian.org/tracker/CVE-2020-11023

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *