Vulnerabilidad en OpenText Documentum Administrator (CVE-2017-14526)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
28/09/2017
Última modificación:
06/10/2017
Descripción
Múltiples vulnerabilidades de XEE (XML External Entity) en la versión 7.2.0180.0055 de OpenText Documentum Administrator permiten que los usuarios autenticados remotos listen el contenido de directorios remotos, lean archivos arbitrarios, provoquen una denegación de servicio o, en Windows, obtengan hashes de usuario de Documentum mediante (1) un archivo DTD manipulado, que involucra estructuras XML sin especificar en una petición a xda/com/documentum/ucf/server/transport/impl/GAIRConnector o un archivo XML manipulado en un archivo MediaProfile (2) importado o (3) insertado en el repositorio.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:opentext:documentum_administrator:7.2.0180.0055:*:*:*:*:*:*:* | ||
cpe:2.3:a:opentext:documentum_webtop:6.8.0160.0073:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página