VDB-217443 · CVE-2020-36640 · ID 17

bonitasoft bonita-connector-webservice まで1.3.0 SecureWSConnector.java TransformerConfigurationException XML External Entity

問題があるとして分類されている脆弱性が bonitasoft bonita-connector-webservice まで1.3.0 内に見つかりました。影響を受けるのは、ファイル【src/main/java/org/bonitasoft/connectors/ws/SecureWSConnector.java】に含まれる関数【TransformerConfigurationException】です。未知の値で改ざんすることが、 XML External Entityを突く攻撃に繋がります。この脆弱性に対応するCWEの定義は CWE-611 です。この脆弱性は 2023年01月05日ににて「17」として紹介されました。アドバイザリーは github.com にてダウンロード用に公開されています。この脆弱性は CVE-2020-36640 として扱われます。攻撃するにはローカルネットワーク内からのアプローチが必要です。技術的詳細情報が入手可能です。入手できるエクスプロイトツールはありません。エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。このエクスプロイトツールは未定義として宣言されています。 0dayにはおよそ $0-$5k の価値があったと予想しています。】のプラグインを提供しています。バージョン 1.3.1 をアップグレードすることで、この問題に対処できます。アップグレードされたバージョンは、github.com からダウンロードする準備ができています。パッチ名は a12ad691c05af19e9061d7949b6b828ce48815d5 です。バグフィックスは、github.com からダウンロードすることが可能です。影響を受けているコンポーネントのアップグレードを推奨します。考えられる回避策が、前として脆弱性の公開後公表されました。

フィールド	2023年01月05日 10:14	2023年01月28日 14:48	2023年01月28日 14:52
vendor	bonitasoft	bonitasoft	bonitasoft
name	bonita-connector-webservice	bonita-connector-webservice	bonita-connector-webservice
version	<=1.3.0	<=1.3.0	<=1.3.0
file	src/main/java/org/bonitasoft/connectors/ws/SecureWSConnector.java	src/main/java/org/bonitasoft/connectors/ws/SecureWSConnector.java	src/main/java/org/bonitasoft/connectors/ws/SecureWSConnector.java
function	TransformerConfigurationException	TransformerConfigurationException	TransformerConfigurationException
cwe	611 (XML External Entity)	611 (XML External Entity)	611 (XML External Entity)
risk	1	1	1
cvss3_vuldb_s	U	U	U
cvss3_vuldb_c	L	L	L
cvss3_vuldb_i	L	L	L
cvss3_vuldb_a	L	L	L
cvss3_vuldb_rl	O	O	O
cvss3_vuldb_rc	C	C	C
identifier	17	17	17
url	https://github.com/bonitasoft/bonita-connector-webservice/pull/17	https://github.com/bonitasoft/bonita-connector-webservice/pull/17	https://github.com/bonitasoft/bonita-connector-webservice/pull/17
name	アップグレード	アップグレード	アップグレード
upgrade_version	1.3.1	1.3.1	1.3.1
upgrade_url	https://github.com/bonitasoft/bonita-connector-webservice/releases/tag/1.3.1	https://github.com/bonitasoft/bonita-connector-webservice/releases/tag/1.3.1	https://github.com/bonitasoft/bonita-connector-webservice/releases/tag/1.3.1
patch_name	a12ad691c05af19e9061d7949b6b828ce48815d5	a12ad691c05af19e9061d7949b6b828ce48815d5	a12ad691c05af19e9061d7949b6b828ce48815d5
patch_url	https://github.com/bonitasoft/bonita-connector-webservice/commit/a12ad691c05af19e9061d7949b6b828ce48815d5	https://github.com/bonitasoft/bonita-connector-webservice/commit/a12ad691c05af19e9061d7949b6b828ce48815d5	https://github.com/bonitasoft/bonita-connector-webservice/commit/a12ad691c05af19e9061d7949b6b828ce48815d5
cve	CVE-2020-36640	CVE-2020-36640	CVE-2020-36640
responsible	VulDB	VulDB	VulDB
date	1672873200 (2023年01月05日)	1672873200 (2023年01月05日)	1672873200 (2023年01月05日)
cvss2_vuldb_ci	P	P	P
cvss2_vuldb_ii	P	P	P
cvss2_vuldb_ai	P	P	P
cvss2_vuldb_rc	C	C	C
cvss2_vuldb_rl	OF	OF	OF
cvss2_vuldb_av	A	A	A
cvss2_vuldb_ac	M	M	M
cvss2_vuldb_au	S	S	S
cvss2_vuldb_e	ND	ND	ND
cvss3_vuldb_av	A	A	A
cvss3_vuldb_ac	L	L	L
cvss3_vuldb_pr	L	L	L
cvss3_vuldb_ui	N	N	N
cvss3_vuldb_e	X	X	X
cvss2_vuldb_basescore	4.9	4.9	4.9
cvss2_vuldb_tempscore	4.3	4.3	4.3
cvss3_vuldb_basescore	5.5	5.5	5.5
cvss3_vuldb_tempscore	5.3	5.3	5.3
cvss3_meta_basescore	5.5	5.5	6.9
cvss3_meta_tempscore	5.3	5.3	6.9
price_0day	$0-$5k	$0-$5k	$0-$5k
cve_assigned		1672873200 (2023年01月05日)	1672873200 (2023年01月05日)
cve_nvd_summary		A vulnerability, which was classified as problematic, was found in bonitasoft bonita-connector-webservice up to 1.3.0. This affects the function TransformerConfigurationException of the file src/main/java/org/bonitasoft/connectors/ws/SecureWSConnector.java. The manipulation leads to xml external entity reference. Upgrading to version 1.3.1 is able to address this issue. The name of the patch is a12ad691c05af19e9061d7949b6b828ce48815d5. It is recommended to upgrade the affected component. The associated identifier of this vulnerability is VDB-217443.	A vulnerability, which was classified as problematic, was found in bonitasoft bonita-connector-webservice up to 1.3.0. This affects the function TransformerConfigurationException of the file src/main/java/org/bonitasoft/connectors/ws/SecureWSConnector.java. The manipulation leads to xml external entity reference. Upgrading to version 1.3.1 is able to address this issue. The name of the patch is a12ad691c05af19e9061d7949b6b828ce48815d5. It is recommended to upgrade the affected component. The associated identifier of this vulnerability is VDB-217443.
cvss3_nvd_av			N
cvss3_nvd_ac			L
cvss3_nvd_pr			N
cvss3_nvd_ui			N
cvss3_nvd_s			U
cvss3_nvd_c			H
cvss3_nvd_i			H
cvss3_nvd_a			H
cvss2_nvd_av			A
cvss2_nvd_ac			M
cvss2_nvd_au			S
cvss2_nvd_ci			P
cvss2_nvd_ii			P
cvss2_nvd_ai			P
cvss3_cna_av			A
cvss3_cna_ac			L
cvss3_cna_pr			L
cvss3_cna_ui			N
cvss3_cna_s			U
cvss3_cna_c			L
cvss3_cna_i			L
cvss3_cna_a			L
cve_cna			VulDB
cvss2_nvd_basescore			4.9
cvss3_nvd_basescore			9.8
cvss3_cna_basescore			5.5

◂ 前概要次 ▸

Do you know our Splunk app?

Download it now for free!