PT-2020-10354 · Determine · Determine Contract Lifecycle Management
Esteban Rodriguez
·
Publicado
2020-01-05
·
Atualizado
2020-01-13
·
CVE-2019-20153
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Determine Contract Lifecycle Management (CLM) versão 5.4
Descrição
Foi identificada uma falha que permite que invasores remotos autenticados leiam arquivos arbitrários, incluindo arquivos de configuração contendo credenciais administrativas, devido a uma vulnerabilidade de entidade externa XML (XXE) no recurso de upload de definições no arquivo definition upload attach.jsp.
Recomendações
Para a versão 5.4, como solução temporária, considere restringir o acesso ao arquivo definition upload attach.jsp até que um patch esteja disponível. Evite usar o recurso de upload de definições nesta versão para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Determine Contract Lifecycle Management