КиберосноваSGRC
BDU:2023-05361
Высокий

BDU:2023-05361: Уязвимость Java-библиотеки анализа, извлечения и управления данными в документах HTML jsoup, связанная с недостатками в обработке исключительных состояний, позволяющая нарушителю вызвать отказ в обслуживании

CVSS v37.5
CVSS v27.8
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2023-05361

Описание

Уязвимость Java-библиотеки анализа, извлечения и управления данными в документах HTML jsoup связана с недостатками в обработке исключительных состояний. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Что делать с BDU:2023-05361

Высокая уязвимость (CVSS 7.5) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
7.5Высокий
Пересчитать →
v2
7.8
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:HAV:N/AC:L/Au:N/C:N/I:N/A:C

CWE — тип уязвимости

CWE-248
CWE-835

CVE — международный идентификатор

CVE-2021-37714

Тактики и техники

Манипулирование ресурсами

Уязвимое ПО (50)

ВендорНазваниеВерсияПлатформа
Red Hat Inc.Red Hat Enterprise Linux7Не указана
Red Hat Inc.Jboss BPM Suiteот 6.0Не указана
Oracle Corp.Business Process Management Suite12.2.1.3.0Не указана
Oracle Corp.Oracle Communications Messaging Server8.1Не указана
Red Hat Inc.Red Hat Enterprise Linux8Не указана
Red Hat Inc.Jboss Fuse7Не указана
Red Hat Inc.Red Hat Software Collections-Не указана
Red Hat Inc.JBoss Enterprise Application Platform7Не указана
Red Hat Inc.JBoss Data Grid7Не указана
Red Hat Inc.Red Hat Single Sign-On7Не указана
Red Hat Inc.JBoss A-MQ6.0Не указана
Red Hat Inc.Red Hat OpenStack Platform13.0 (Queens)Не указана
Oracle Corp.PeopleSoft Enterprise PeopleTools8.58Не указана
Red Hat Inc.Red Hat JBoss Data Virtualization6Не указана
Red Hat Inc.Jboss Fuse6Не указана
Red Hat Inc.JBoss Enterprise Application Platform7.3 for RHEL 6Не указана
Red Hat Inc.JBoss Enterprise Application Platform7.3 for RHEL 7Не указана
Red Hat Inc.JBoss Enterprise Application Platform7.3 for RHEL 8Не указана
Red Hat Inc.CodeReady Studio12Не указана
Red Hat Inc.Red Hat Process Automation7Не указана
Oracle Corp.Business Process Management Suite12.2.1.4.0Не указана
Oracle Corp.Primavera Unifier20.12Не указана
Red Hat Inc.Red Hat Integration Camel Quarkus-Не указана
Red Hat Inc.Red Hat JBoss Fuse Service Works6Не указана
Oracle Corp.Oracle WebCenter Portal12.2.1.3.0Не указана
Oracle Corp.Oracle WebCenter Portal12.2.1.4.0Не указана
Red Hat Inc.Red Hat JBoss Enterprise Application Platform Expansion Pack-Не указана
Oracle Corp.PeopleSoft Enterprise PeopleTools8.59Не указана
Red Hat Inc.Red Hat Enterprise Linux9Не указана
Red Hat Inc.Red Hat Integration-Не указана
Oracle Corp.Oracle FLEXCUBE Universal Banking14.5Не указана
Oracle Corp.Oracle FLEXCUBE Universal Bankingот 14.0 до 14.3 включительноНе указана
Oracle Corp.Banking Treasury Management14.5Не указана
Oracle Corp.Primavera Unifier21.12Не указана
Oracle Corp.Oracle Banking Trade Finance14.5Не указана
Red Hat Inc.Decision Manager7Не указана
Oracle Corp.Oracle Financial Services Crime and Compliance Management Studio8.0.8.2.0Не указана
Oracle Corp.Oracle Financial Services Crime and Compliance Management Studio8.0.8.3.0Не указана
OpenSearchLogstash8.9.0Не указана
Сообщество свободного программного обеспеченияjsoupдо 1.14.2Не указана
Red Hat Inc.Quarkusдо 2.2.3Не указана
Red Hat Inc.Jboss BRMS6.0Не указана
Oracle Corp.Hospitality Token Proxy Service19.2Не указана
Oracle Corp.Oracle Retail Customer Management and Segmentation Foundationот 17.0 до 19.0Не указана
NetApp Inc.Management Service for Element Software and NetApp Hci-Не указана
Oracle Corp.Middleware Common Libraries and Tools12.2.1.3.0Не указана
Oracle Corp.Middleware Common Libraries and Tools12.2.1.4.0Не указана
Oracle Corp.Stream Analiticsдо 19.1.0.0.6.4Не указана
Elastic NVLogstash8.12.1Не указана
Google IncAndroid Studio2025.2.3.9Не указана

Рекомендации по устранению

Использование рекомендаций: Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuapr2022.html https://www.oracle.com/security-alerts/cpujan2022.html https://www.oracle.com/security-alerts/cpujul2022.html Для программных продуктов NetApp Inc.: https://security.netapp.com/advisory/ntap-20220210-0022/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2021-37714 Компенсирующие меры для программных продуктов OpenSearch: - использование антивирусных средств защиты; - мониторинг действий пользователей; - запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе; - применение систем обнаружения и предотвращения вторжений. Организационные меры для Logstash: 1. Ограничить использование программного средства 2. Использование аналогичного программного средства

Источники (1)

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 7.5

Уточните SLA под вашу среду

Базовый балл 7.5 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации4.3%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2021-08-18

Опубликована

2023-09-08

Обновлена

2026-02-10

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2021-37714 MITRE: CWE-248 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2026-01708
Средний
2.0

Уязвимость функции commonprefix() модуля pip языка программирования Python, позволяющая нарушителю получить доступ на до

BDU:2026-01709
Средний
8.2

Уязвимость компонента org.assertj.core.util.xml.XmlStringPrettyFormatter Java-библиотеки для написания проверок в модуль

BDU:2026-00695
Средний
4.8

Уязвимость компонента RMI программной платформы Oracle Java SE, виртуальных машин Oracle GraalVM for JDK и Oracle GraalV

BDU:2026-00681
Высокий
7.4

Уязвимость компонентов AWT и JavaFX программной платформы Oracle Java SE, виртуальных машин Oracle GraalVM for JDK и Or

BDU:2026-00680
Высокий
7.5

Уязвимость компонента Security программной платформы Oracle Java SE, виртуальных машин Oracle GraalVM for JDK и Oracle G

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0