bonitasoft bonita-connector-webservice до 1.3.0 SecureWSConnector.java TransformerConfigurationException XML External Entity
В bonitasoft bonita-connector-webservice до 1.3.0 была найдена уязвимость, классифицированная как проблемные. Затронута функция TransformerConfigurationException
файла src/main/java/org/bonitasoft/connectors/ws/SecureWSConnector.java. Определение CWE для уязвимости следующее CWE-611. Консультацию можно прочитать на сайте github.com.
Эта уязвимость однозначно идентифицируется как CVE-2020-36640. Атака может быть инициирована только в пределах локальной сети. Имеются технические подробности. Эксплойт отсутствует. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время.
Объявляется Не определено. Мы ожидаем, что 0-день стоил приблизительно $0-$5k.
Обновление до версии 1.3.1 способно решить эту проблему. Обновленную версию можно скачать по адресу github.com. Название патча следующее a12ad691c05af19e9061d7949b6b828ce48815d5. Исправление готово для загрузки по адресу github.com. Рекомендуется обновить затронутый компонент.
Временная шкала
54 больше записей не показано