PT-2020-13930 · Information Builders · Webfocus Business Intelligence
Publicado
2020-06-22
·
Atualizado
2020-06-26
·
CVE-2020-14204
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
WebFOCUS Business Intelligence versão 8.0 (SP6)
Descrição
O portal de administração do software afetado permite que invasores remotos leiam arquivos locais arbitrários ou falsifiquem solicitações HTTP do lado do servidor por meio de uma solicitação HTTP maliciosa direcionada a “/ibi apps/WFServlet.cfg”, devido a uma injeção de entidade externa XML. Este problema está relacionado a modificações na configuração do repositório de aplicativos.
Recomendações
Para o WebFOCUS Business Intelligence versão 8.0 (SP6), considere restringir o acesso ao endpoint “/ibi apps/WFServlet.cfg” até que um patch esteja disponível para impedir ataques de injeção de entidade externa XML. Além disso, revise e proteja a configuração do repositório de aplicativos para impedir modificações não autorizadas.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Webfocus Business Intelligence