PT-2020-19268 · Sos · Sos Jobscheduler
Oliver Haufe
·
Publicado
2020-02-06
·
Atualizado
2020-02-07
·
CVE-2020-6856
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
SOS JobScheduler, versões 1.12 a 1.13.2
Descrição
Existe uma vulnerabilidade no componente JOC Cockpit que permite que invasores leiam arquivos do servidor por meio de uma declaração de entidade em documentos XML utilizados para configurações de tempo de execução de tarefas e ordens.
Recomendações
Para as versões 1.12 a 1.13.2 do SOS JobScheduler, considere desativar o processamento de Entidades Externas XML (XEE) no componente JOC Cockpit até que um patch esteja disponível. Restrinja o acesso a arquivos confidenciais no servidor para minimizar o risco de exploração.
Correção
XML Entity Expansion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sos Jobscheduler