КиберосноваSGRC
BDU:2019-04080
Средний

BDU:2019-04080: Уязвимость компонента faces/context/PartialViewContextImpl.java библиотеки Eclipse Mojarra, как реализации спецификаций Mojarra JavaServer Faces и Eclipse EE4J, позволяющая нарушителю осуществить межсайтовую сценарную атаку

CVSS v36.1
CVSS v25.8

Детали уязвимости BDU:2019-04080

Описание

Уязвимость компонента faces/context/PartialViewContextImpl.java библиотеки Eclipse Mojarra, как реализации спецификаций Mojarra JavaServer Faces и Eclipse EE4J, связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить межсайтовую сценарную атаку

Что делать с BDU:2019-04080

Уязвимость среднего уровня (CVSS 6.1) — устраните в рамках планового цикла обновлений. Рекомендуемый срок — 30 дней. Оцените применимость к вашей инфраструктуре через список затронутого ПО.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
6.1Средний
Пересчитать →
v2
5.8
Только просмотр
AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:NAV:N/AC:M/Au:N/C:P/I:P/A:N

CWE — тип уязвимости

CVE — международный идентификатор

CWE-79
Межсайтовый скриптинг (XSS)

Позволяет внедрить вредоносный JavaScript-код в веб-страницу, который выполнится в браузере жертвы. Приводит к краже cookies, перенаправлению, подмене контента.

Как атакуют и что делать ▾

Сценарий атаки

Злоумышленник внедряет JavaScript через форму поиска или URL-параметр. При открытии страницы жертвой скрипт выполняется в контексте её сессии.

Последствия

Кража cookies и токенов сессии, перенаправление на фишинг, подмена контента страницы.

Рекомендации

Экранируйте вывод (output encoding), настройте Content-Security-Policy заголовки, валидируйте ввод на сервере.

Тактики и техники

Несанкционированный сбор информации

Уязвимое ПО (37)

ВендорНазваниеВерсияПлатформа
Oracle Corp.Oracle Secure Global Desktop5.4Не указана
Oracle Corp.Oracle Retail Merchandising System16.0Не указана
Oracle Corp.Application Testing Suite13.3.0.1Не указана
Eclipse FoundationEclipse mojarraот 2.3.0 до 2.3.10Не указана
Сообщество свободного программного обеспеченияMojarra JavaServer facesот 2.2.0 до 2.2.20Не указана
Oracle Corp.Primavera P6 Enterprise Project Portfolio Managementот 15.1.0.0 до 15.2.18.7 включительноНе указана
Oracle Corp.Primavera P6 Enterprise Project Portfolio Managementот 16.1.0.0 до 16.2.19.0 включительноНе указана
Oracle Corp.Primavera P6 Enterprise Project Portfolio Management19.12.0.0Не указана
Oracle Corp.Application Testing Suite13.2.0.1Не указана
Oracle Corp.Oracle Communications Unified Inventory Management7.3Не указана
Oracle Corp.Oracle Communications Unified Inventory Management7.4Не указана
Oracle Corp.Primavera P6 Enterprise Project Portfolio Managementот 18.1.0.0 до 18.8.15.0 включительноНе указана
Oracle Corp.Primavera P6 Enterprise Project Portfolio Managementот 17.1.0.0 до 17.12.15.0 включительноНе указана
Oracle Corp.Oracle Retail Assortment Planning16.0.3Не указана
Oracle Corp.Oracle Secure Global Desktop5.5Не указана
Oracle Corp.Retail Integration Bus15.0Не указана
Oracle Corp.Retail Integration Bus16.0Не указана
Oracle Corp.Banking Enterprise Product Manufacturing2.7.0Не указана
Oracle Corp.Banking Enterprise Product Manufacturing2.8.0Не указана
Oracle Corp.Oracle Retail Assortment Planning15.0Не указана
Oracle Corp.Oracle Retail Assortment Planning16.0Не указана
Oracle Corp.Oracle Retail Financial Integration15.0Не указана
Oracle Corp.Oracle Retail Financial Integration16.0Не указана
Oracle Corp.Oracle Retail Service Backbone15.0Не указана
Oracle Corp.Oracle Retail Service Backbone16.0Не указана
Oracle Corp.Rapid Planning12.1Не указана
Oracle Corp.Rapid Planning12.2Не указана
Oracle Corp.Retail Store Inventory Management14.0.4Не указана
Oracle Corp.Retail Store Inventory Management14.1.3Не указана
Oracle Corp.Retail Store Inventory Management15.0.3Не указана
Oracle Corp.Retail Store Inventory Management16.0.3Не указана
Oracle Corp.Oracle Retail Invoice Matching16.0Не указана
Oracle Corp.Oracle Communications Network Integrity7.3.5Не указана
Oracle Corp.Oracle Communications Network Integrity7.3.6Не указана
Oracle Corp.Communications Diameter Signaling Routerот 8.0.0.0 до 8.4.0.5 включительноНе указана
Oracle Corp.Oracle Retail Bulk Data Integration16.0.3.0Не указана
Oracle Corp.Enterprise Data Quality12.2.1.3.0Не указана

Рекомендации по устранению

Использование рекомендаций производителя: Для программных продуктов Eclipse: https://bugs.eclipse.org/bugs/show_bug.cgi?id=548244 Для Oracle: https://www.oracle.com/security-alerts/cpujan2020.html https://www.oracle.com/security-alerts/cpuapr2020.html https://www.oracle.com/security-alerts/cpujul2020.html https://www.oracle.com/security-alerts/cpuoct2020.html https://www.oracle.com/security-alerts/cpujan2021.html

SLA ФСТЭК №117

30 дней

по базовой оценке CVSS 6.1

Уточните SLA под вашу среду

Базовый балл 6.1 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать

Низкий текущий риск. Устраните при плановом обновлении.

EPSS — вероятность эксплуатации2.5%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2019-06-13

Опубликована

2019-11-19

Обновлена

2021-02-25

Эксплойт

Существует в открытом доступе

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0