Vulnerabilidad en una petición HTTP en el archivo /ibi_apps/WFServlet.cfg en WebFOCUS Business Intelligence (CVE-2020-14204)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
22/06/2020
Última modificación:
26/06/2020
Descripción
En WebFOCUS Business Intelligence versión 8.0(SP6), el portal de administración permite a atacantes remotos leer archivos locales arbitrarios o falsificar peticiones HTTP del lado del servidor por medio de una petición HTTP diseñada en el archivo /ibi_apps/WFServlet.cfg porque es posible una inyección de entidad externa XML. Esto está relacionado con la realización de cambios en la configuración del repositorio de la aplicación
Impacto
Puntuación base 3.x
8.20
Gravedad 3.x
ALTA
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:ibi:webfocus_business_intelligence:8.0:sp6:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página