Vulnerabilidad en múltiples programas Forcepoint (CVE-2022-1700)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
12/09/2022
Última modificación:
15/09/2022
Descripción
Una vulnerabilidad de restricción inapropiada de tipo XML External Entity Reference ("XXE") en el motor de políticas de Forcepoint Data Loss Prevention (DLP), que también es aprovechado por Forcepoint One Endpoint (F1E), Web Security Content Gateway, Email Security con DLP activado y Cloud Security Gateway antes del 20 de junio de 2022. Se ha detectado que el analizador XML del motor de políticas no está configurado correctamente para admitir entidades externas y DTD (Document Type Definitions) externas, lo que puede conllevar a un ataque de tipo XXE. Este problema afecta a: Las versiones de Forcepoint Data Loss Prevention (DLP) anteriores a 8.8.2. Forcepoint One Endpoint (F1E) con versiones de Policy Engine anteriores a 8.8.2. Versiones de Forcepoint Web Security Content Gateway anteriores a 8.5.5. Forcepoint Email Security con versiones DLP habilitadas anteriores a 8.5.5. Forcepoint Cloud Security Gateway anterior al 20 de junio de 2022
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:forcepoint:cloud_security_gateway:*:*:*:*:*:*:*:* | 2022-06-20 (excluyendo) | |
| cpe:2.3:a:forcepoint:data_loss_prevention:*:*:*:*:*:*:*:* | 8.8.2 (excluyendo) | |
| cpe:2.3:a:forcepoint:email_security:*:*:*:*:*:*:*:* | 8.5.5 (excluyendo) | |
| cpe:2.3:a:forcepoint:one_endpoint_with_policy_engine:*:*:*:*:*:*:*:* | 8.8.2 (excluyendo) | |
| cpe:2.3:a:forcepoint:web_security_content_gateway:*:*:*:*:*:*:*:* | 8.5.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página