КиберосноваSGRC
BDU:2019-04406
Высокий

BDU:2019-04406: Уязвимость платформы веб-сервисов Apache Axis, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку

CVSS v37.5
CVSS v27.9

Детали уязвимости BDU:2019-04406

Описание

Уязвимость платформы Web-сервисов Apache Axis связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить SSRF-атаку

Что делать с BDU:2019-04406

Высокая уязвимость (CVSS 7.5) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
7.5Высокий
Пересчитать →
v2
7.9
Только просмотр
AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:HAV:A/AC:M/Au:N/C:C/I:C/A:C

CWE — тип уязвимости

CVE — международный идентификатор

CWE-918
Подделка серверных запросов

Позволяет заставить сервер отправлять запросы к внутренним ресурсам. Приводит к доступу к внутренней сети.

Как атакуют и что делать ▾

Сценарий атаки

Сервер принимает URL от пользователя и делает HTTP-запрос. Атакующий указывает http://169.254.169.254/ — получает метаданные облака.

Последствия

Доступ к внутренней сети, метаданным облака (AWS/GCP credentials), сканирование портов.

Рекомендации

Валидируйте URL по white-list, блокируйте приватные IP-диапазоны, используйте egress firewall.

Тактики и техники

Подмена при взаимодействии

Уязвимое ПО (69)

ВендорНазваниеВерсияПлатформа
Oracle Corp.Primavera Unifier16.2Не указана
Oracle Corp.Primavera Unifier16.1Не указана
Oracle Corp.Tuxedo12.1.1.0Не указана
Oracle Corp.PeopleSoft Enterprise PeopleTools8.56Не указана
Oracle Corp.PeopleSoft Enterprise PeopleTools8.57Не указана
Oracle Corp.WebCenter Portal12.2.1.3.0Не указана
Oracle Corp.Oracle Secure Global Desktop5.4Не указана
Oracle Corp.Oracle Retail Order Broker15.0Не указана
Oracle Corp.Oracle Retail Order Broker16.0Не указана
Oracle Corp.Instantis EnterpriseTrack17.1Не указана
Oracle Corp.Instantis EnterpriseTrack17.2Не указана
Oracle Corp.Instantis EnterpriseTrack17.3Не указана
Oracle Corp.Agile Engineering Data Management6.2.1Не указана
Oracle Corp.Enterprise Manager Base Platform12.1.0.5Не указана
Oracle Corp.Oracle Hospitality Guest Access4.2.0Не указана
Oracle Corp.Oracle Hospitality Guest Access4.2.1Не указана
Oracle Corp.Application Testing Suite13.3.0.1Не указана
Oracle Corp.Primavera Unifier18.8Не указана
Oracle Corp.Retail Xstore Point of Service7.1Не указана
Apache Software FoundationAxis1.4Не указана
Oracle Corp.Oracle Policy Automation Connector for Siebel10.4.6Не указана
Oracle Corp.Application Testing Suite13.2.0.1Не указана
Oracle Corp.Enterprise Manager Base Platform13.3.0.0Не указана
Oracle Corp.PeopleSoft Enterprise HCM Human Resources9.2Не указана
Oracle Corp.Oracle Secure Global Desktop5.5Не указана
Oracle Corp.Primavera Gateway16.2.11Не указана
Oracle Corp.Primavera Gateway17.12.6Не указана
Oracle Corp.Primavera Unifier19.12Не указана
Oracle Corp.Oracle Communications Design Studio7.3.4.3.0Не указана
Oracle Corp.Oracle Communications Design Studio7.3.5.5.0Не указана
Oracle Corp.Oracle Communications Design Studio7.4.0.4.0Не указана
Oracle Corp.Primavera Unifierот 17.7 до 17.12 включительноНе указана
Oracle Corp.Financial Services Analytical Applications Infrastructureот 7.3.3 до 7.3.5 включительноНе указана
Oracle Corp.Oracle Endeca Information Discovery Studio3.2.0Не указана
Oracle Corp.Oracle Communications Design Studio7.4.1.1.0Не указана
Oracle Corp.Tuxedo12.1.3.0Не указана
Oracle Corp.Oracle Agile PLM Framework9.3.3Не указана
Oracle Corp.Oracle Retail Order Broker18.0Не указана
Oracle Corp.PeopleSoft Enterprise PeopleTools8.58Не указана
Oracle Corp.Oracle Communications Element Manager8.0.0Не указана
Oracle Corp.Oracle Communications Element Manager8.1.0Не указана
Oracle Corp.Oracle Communications Element Manager8.1.1Не указана
Oracle Corp.Oracle Communications Element Manager8.2.0Не указана
Oracle Corp.Oracle Communications Session Report Manager8.0.0Не указана
Oracle Corp.Oracle Communications Session Report Manager8.1.0Не указана
Oracle Corp.Oracle Communications Session Report Manager8.1.1Не указана
Oracle Corp.Oracle Communications Session Report Manager8.2.0Не указана
Oracle Corp.Oracle Communications Session Route Manager8.0.0Не указана
Oracle Corp.Oracle Communications Session Route Manager8.1.0Не указана
Oracle Corp.Oracle Communications Session Route Manager8.1.1Не указана

Показано 50 из 69

Среды функционирования (1)

ВендорНазваниеВерсияПлатформа
АО «Концерн ВНИИНС»ОС ОН «Стрелец»до 16.01.2023Не указана

Рекомендации по устранению

Использование рекомендаций: Для Apache Axis: Обновление платформы веб-сервисов Apache Axis до версии 1.7.9 или новее Для Oracle: https://www.oracle.com/security-alerts/cpuapr2020.html https://www.oracle.com/security-alerts/cpujan2020.html https://www.oracle.com/security-alerts/cpujul2020.html https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html https://www.oracle.com/security-alerts/cpujan2021.html Для ОС ОН «Стрелец»: Обновление программного обеспечения axis до версии 1.4-25strelets0

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 7.5

Уточните SLA под вашу среду

Базовый балл 7.5 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Немедленно устранить

Эксплуатируется или вероятность крайне высока. Приоритет №1 — устраните в первую очередь.

EPSS — вероятность эксплуатации86.5%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2019-01-15

Опубликована

2019-12-03

Обновлена

2026-05-18

Эксплойт

Существует в открытом доступе

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0