Enonic XP: source code security analysis report

2016-06-29T00:00:00
ID APPERCUT:18
Type appercut
Reporter InfoWatch APPERCUT
Modified 2016-07-11T00:00:00

Description

Several vulnerabilities were discovered in Enonic AS 'Enonic XP' software: Утечка пользовательских данных между сессиями Использование XSL трансформации для исполнения произвольного кода Отсутствие верификации цифровой подписи исполняемых файлов, полученных из недоверенных источников HttpOnly Cookies Нарушение объектной модели Java Отсутствие удаления временных файлов после окончания работы Некорректная фильтрация пользовательских данных при генерации форматных строк Некорректное разрешение внешних сущностей при обработке XML-документов Некорректная фильтрация пользовательского ввода при динамическом выполнении кода Некорректная фильтрация сообщений при использовании Web Messaging API Использование статических генераторов псевдослучайных чисел в криптографических целях