Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2019-02188: Уязвимость модуля веб-доступа системы электронного документооборота DIRECTUM, позволяющая нарушителю выполнить произвольный JavaScript-код

Основная информация
Подробнее

Описание уязвимости

Уязвимость модуля веб-доступа системы электронного документооборота DIRECTUM связана с недостаточной защитой структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный JavaScript-код

Вендор

ООО «ДИРЕКТУМ»

Наименование ПО

DIRECTUM (запись в едином реестре российских программ №4499)

Версия ПО

до 5.6.1

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Непринятие мер по защите структуры веб-страницы (или \«Межсайтовая сценарная атака\»)

Идентификатор типа ошибки

CWE-79

Класс уязвимости

Уязвимость кода

Дата выявления

06.05.2019

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Обновление веб-доступа до 5.6.1 или более поздней версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Способ эксплуатации

Инъекция

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

Данные уточняются

Идентификаторы других систем описаний уязвимостей

Данные уточняются

Прочая информация

Последние изменения