Vulnerabilidad en OpenText Content Suite Platform 22.1 (CVE-2022-45927)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/01/2023
Última modificación:
04/04/2025
Descripción
Se descubrió un problema en OpenText Content Suite Platform 22.1 (16.2.19.1803). El servidor de aplicaciones Java se puede utilizar para omitir la autenticación de los endpoints QDS del servidor de contenidos. Estos endpoints se pueden utilizar para crear objetos y ejecutar código arbitrario.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opentext:opentext_extended_ecm:*:*:*:*:*:*:*:* | 20.4 (incluyendo) | 22.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/170614/OpenText-Extended-ECM-22.3-Java-Frontend-Remote-Code-Execution.html
- http://seclists.org/fulldisclosure/2023/Jan/13
- https://sec-consult.com/vulnerability-lab/advisory/pre-authenticated-remote-code-execution-via-java-frontend-qds-endpoint-opentext-extended-ecm/
- http://packetstormsecurity.com/files/170614/OpenText-Extended-ECM-22.3-Java-Frontend-Remote-Code-Execution.html
- http://seclists.org/fulldisclosure/2023/Jan/13
- https://sec-consult.com/vulnerability-lab/advisory/pre-authenticated-remote-code-execution-via-java-frontend-qds-endpoint-opentext-extended-ecm/