Histórico da Página
...
Nível | Vulnerabilidade | Recomendação | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
INFORMATION | Password type input with auto-complete enabled | Realizamos testes internos e, apesar de não termos encontrado formas de invasão (nos navegadores mais recentes) por conta de não conter o atributo "auto-complete" nos campos de senha, iremos reforçar a segurança do programa "changePassword" colocando o atributo "auto-complete=new-password" nos campos que utilizam senha. Iremos nos basear na referência encontrada no link https://developer.mozilla.org/en-US/docs/Web/HTML/Attributes/autocomplete. Há Issue interna tratando essa questão, será liberada nas próximas atualizações. | ||||||||||||
INFORMATION | JavaScript dependencies | Estamos em constante monitoramento das vulnerabilidades quanto as versões desatualizadas de bibliotecas, com ações de atualização das bibliotecas de terceiros quando estas vulnerabilidades se tornam críticas (exposição pública de um possível ponto de ataque). | ||||||||||||
INFORMATION | Vulnerable Apache Tomcat version | Em cada nova release do ERP Datasul, nós efetuamos homologações com a última versão do Tomcat 9. Consulte o link: https://tdn.totvs.com/pages/releaseview.action?pageId=645691744 para mais informações quanto as versões. Está em nosso roadmap a homologação do produto com o Tomcat 10 | ||||||||||||
INFORMATION | Insecure Referrer Policy | Quando não houver um policy definido, o valor padrão é strict-origin-when-cross-origin, onde já atenderia o requisito. Caso seja exibido este alerta, verifique se o navegador e o servidor de aplicação Web estão corretamente atualizado para as versões homologadas. https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy | ||||||||||||
INFORMATION | Alert group Reverse proxy detected | A configuração de um proxy reverso não se caracterizaria uma vulnerabilidade no ERP Datasul. Nós até recomendamos sua utilização caso tenha a necessidade de expor o ERP para acesso externo, pois assim o Tomcat estaria mais seguro. Atualmente as configurações do proxy reverso que recomendamos podem ser visualizadas no link: https://centraldeatendimento.totvs.com/hc/pt-br/articles/360046255573-Framework-Linha-Datasul-TEC-Configura%C3%A7%C3%A3o-de-Proxy-Reverso-para-o-Datasul-for-THF-utilizando-Apache O proxy reverso também pode ser configurado com um protocolo HTTPS, acesse o link para mais informações: https://centraldeatendimento.totvs.com/hc/pt-br/articles/360045679694-DS-THF-Configura%C3%A7%C3%A3o-de-HTTPS-para-o-Datasul-for-THF-utilizando-Apache | ||||||||||||
INFORMATION | Microsoft IIS version disclosure | O Microsoft IIS pode ser configurado para remover cabeçalhos indesejados da resposta HTTP. Consulte o link para obter mais informações. https://learn.microsoft.com/pt-pt/archive/blogs/varunm/remove-unwanted-http-response-headers | ||||||||||||
LOW | ASP.NET version disclosure | Para evitar a exposição da versão do ASP.NET, precisar ser editado o arquivo “web.config”, que normalmente está em: C:\Windows\Microsoft.NET\Framework\<VERSION>\Config\web.config * Substitua a tag <VERSION> pelo versão do ASP.NET instalado no servidor. Deve ser adicionada a tag abaixo: <System.Web> * Caso não se obtenha sucesso na remoção, consulte o link: https://learn.microsoft.com/pt-pt/archive/blogs/varunm/remove-unwanted-http-response-headers para verificar mais alternativas. | ||||||||||||
LOW | Clickjacking: X-Frame-Options header | Caso tenha integração com outros produtos (Meu RH, por exemplo) não é indicado realizar a configuração do X-FRAME-OPTIONS, pois são ambientes diferentes e não se encaixaria nem com o SAMEORIGIN e nem o DENY. Caso NÃO há integração com nenhum outro produto e você utiliza apenas o ERP Datasul, deve-se configurar o Apache para que contenha a seguinte linha de código: Header always set X-Frame-Options "SAMEORIGIN" | ||||||||||||
LOW | Cookies with missing, inconsistent or contradictory properties (without SameSite) | No cenário atual, para ter acesso as requisições, é necessária uma autenticação prévia com usuário e senha do ERP Datasul, das quais, quando integradas com outros portais, utilizam Cookies para propagar a autenticação. Estamos com planejamentos de evolução e melhorias de segurança onde as requisições serão validadas por tokens. Os navegadores mais atualizados já definem o atributo SameSite=Lax para restringir o uso do Cookie e, consequentemente, evitar o Cross-Site Request Forgery (CSRF). Caso houver a necessidade de integrar o ERP com outros portais, recomendamos que use a forma de conexão HTTPS, pois assim o Cookie atribuirá o parâmetro Secure. | ||||||||||||
LOW | TLS cookie without secure flag set | O ERP Datasul já contempla as flags HttpOnly e Secure, porém o produto deve estar configurado para HTTPS. | ||||||||||||
LOW | Content Security Policy (CSP) | Não é recomendado Neste momento não recomendamos que seja inserida a tag CSP na header pois pode impactar no correto funcionamento do ERP Datasul, desde a exibição das interfaces gráficas quanto a execução de funcionalidades internas por intermédio de scripts. , porém estamos em constante evolução no produto no quesito de segurança para que seja viável a aplicação desta política em um futuro próximo.
| ||||||||||||
LOW | Open Redirect | O redirecionamento das URLs após efetuado o login é necessário para que os portais utilizem a mesma engine de login do ERP Datasul, por este motivo não é possível remove-lo da arquitetura DTS4THF. Foi desenvolvido uma rotina para sanar a vulnerabilidade e permitir o redirecionamento apenas para as URL's definidas pelo usuário. Para configuração, deve-se verificar a documentação contida em Redirecionamento de Login (propriedades-segurança). | ||||||||||||
LOW | Mensagem de erro descritiva | Através da manipulação dos parâmetros da requisição aos paths /dts/datasulrest/resources/prg/fwk/v1/menuPrograms/list e /totvs-menu/rest/documents/upload/ foi possível induzir a aplicação a retornar erros, que por serem muito descritivos revelam componentes utilizados na aplicação. Foi solucionada esta vulnerabilidade através da issue DFWKDATASUL-2320, liberada a partir da release 12.1.2407 e planejados em expedição contínua para as versões: 12.1.2403.3, 12.1.2311.9 e 12.1.2307.14. | ||||||||||||
MEDIUM | Vulnerable JavaScript libraries | Há alegações que a versão do JQuery (jquery-2.1.4.min.js) praticado pela Totvs estaria diferente da versão original e que isso poderia afetar consideravelmente a segurança e o nível de confiança no produto. Foi efetuada a atualização da versão do JQuery para a 3.7.1 (DFWKDATASUL-1212), sendo expedida na release 12.1.2311. | ||||||||||||
MEDIUM |
| Para omitir informações de erros e versão do Apache Tomcat (quando um Status Error ocorre), basta configurar o arquivo conf/server.xml do Tomcat, incluir a tag Valve com atributos className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false", a configuração deve ficar parecida com o trecho de código abaixo:
Uma outra alternativa é a implementação da solução proposta em: https://tdn.totvs.com/pages/viewpage.action?pageId=776533248. disponível a partir da release 12.1.2311. | ||||||||||||
MEDIUM | Unencrypted connection (verified) | Quem define de fato se o sistema irá rodar em ambiente HTTP ou HTTPS é a própria equipe de Infraestrutura do cliente. Atualmente não temos um ambiente que rode “full HTTPS”, geralmente os clientes utilizam HTTPS através de um proxy como o apache e o acesso interno como HTTP. | ||||||||||||
MEDIUM | User credentials are sent in clear text | Há alegações que as credenciais estão sendo mostradas em “texto claro” nos forms do produto e sugerem que a conexão deveria ser via HTTPS para resolver e evitar isso, porém novamente quem define se o sistema irá rodar em HTTP ou HTTPS é a Infraestrutura do cliente. | ||||||||||||
MEDIUM | Strict transport security not enforced | Devido a diferenças de configurações do ambiente em nossos clientes, por reduções de custo os mesmos podem configurar o acesso externo (HTTPS) por intermédio de um proxy que por sua vez redireciona para o ambiente interno (HTTP). Por este motivo não é possível implementar esta restrição. | ||||||||||||
MEDIUM | Reflected XSS emailReminder | O parâmetro emailReminder apresentado na tela "Esqueci minha senha" possui formatações para campo de e-mail, consequentemente o risco de inserir códigos scripts é reduzido. Com o intuito de reduzir ainda mais o risco de um possível ataque XSS, foram efetuados ajustes na Issue DFWKDATASUL-1209, liberada na release 12.1.2311. | ||||||||||||
MEDIUM | No rate limiting | Para evitar possíveis ataques externos, o controle do limite das requisições pode ser realizada com parametrizações do servidor de aplicação onde está o Proxy Reverso. | ||||||||||||
MEDIUM | Cross-Site Request Forgery (CSRF) | Atualmente para ter acesso as requisições, é necessário realizar uma autenticação prévia com usuário e senha do ERP Datasul dos quais, quando integradas com outros portais, utilizam Cookies para propagar a autenticação. Estamos com planejamentos de evolução e melhorias de segurança onde as requisições serão validadas por tokens. Os navegadores mais atualizados já definem o atributo SameSite=Lax para restringir o uso do Cookie (e consequentemente evitar o CSRF). Caso houver a necessidade de integrar o ERP com outros portais, recomendamos que use o HTTPS, pois assim o Cookie atribuirá o parâmetro Secure | ||||||||||||
MEDIUM | Client-Side Desync | Estamos com planejamentos futuros para a validação de compatibilidade do protocolo HTTP/2 e tratamento de requisições POST, reduzindo assim a vulnerabilidade de CSD. | ||||||||||||
MEDIUM | Sensitive Information Disclosure | Identificados a partir da exposição de conteúdos sem relação com o ERP Datasul. O conteúdo do webapps relacionado ao Apache Tomcat deve conter somente diretórios gerados a partir do deploy de arquivos .war disponibilizados por nossa expedição. Quaisquer outros diretórios (exemplos: /docs, /examples, entre outros) devem ser removidos desta instância. Caso houver a necessidade de incluir diretórios que não pertencem a nossa expedição (para monitoramentos por exemplo), fica de responsabilidade do cliente garantir a segurança de acesso dos mesmos. | ||||||||||||
MEDIUM | User Enumeration via path traversal | Foi possível perceber que a aplicação tem como comportamento padrão a utilização do login do usuário como parte da composição para o diretório de destino ao realizar upload de arquivos /totvs-menu/rest/documents/upload/. Fazendo uso de tais informações, foi possível realizar um ataque para enumeração de usuário permitindo a descoberta do usuário “rest”. Foi solucionada esta vulnerabilidade através da issue DFWKDATASUL-2319, liberada a partir da release 12.1.2407 e planejados em expedição contínua para as versões: 12.1.2403.3, 12.1.2311.9 e 12.1.2307.14. | ||||||||||||
HIGH | Cross site scripting (/totvslogin/ changePassword) | Realmente, existe uma forma de invasão na tela de alteração de senha (changePassword) através do campo “Usuário”. Iremos avaliar através de Issue interna as melhores práticas para contemplar a segurança da tela referenciada neste item. | ||||||||||||
HIGH | Cross site scripting (/totvs-login/reminder) | Na versão da época realmente existia uma forma de invadir o sistema através de script XSS, porém na versão atual isso já foi solucionado, deve ser atualizado o produto para as últimas versões. | ||||||||||||
HIGH | Cross site scripting (/totvslogin/ reminderForm) | Na versão da época realmente existia uma forma de invadir o sistema através de script XSS, porém na versão atual isso já foi solucionado, deve ser atualizado o produto para as últimas versões. | ||||||||||||
HIGH | Login Brute Force (Ataques de força bruta no login da aplicação) | Para evitar constantes requisições no login do produto com a finalidade do descobrimento da senha, recomendamos que seja ativada a parametrização Tentativas mal sucedidas de login. Esta parametrização pode ser utilizada em conjunto com o Minutos de bloqueio temporário de login caso opte pelo desbloqueio automático depois de alguns minutos. Para mais informações de como efetuar a parametrização, consulte a documentação: https://tdn.totvs.com/pages/releaseview.action?pageId=633336230 | ||||||||||||
HIGH | Path Traversal | Foi possível perceber que a funcionalidade de upload contida na URL /totvs-menu/rest/documents/upload/ permite ao usuário o acesso a diretórios não previstos pelo desenvolvedor através da técnica de Path Traversal. Foi solucionada esta vulnerabilidade através da issue DFWKDATASUL-2317, liberada a partir da release 12.1.2403 e dos patchs 12.1.2307.10 e 12.1.2311.4. | ||||||||||||
HIGH | Improper Delete Feature | Por meio de análises na funcionalidade “Action Remove”, identificamos que através do endpoint "/totvs-menu/rest/documents/action/” é possível deletar os arquivos localizados no servidor web. Foi solucionada esta vulnerabilidade através da issue DFWKDATASUL-2318, liberada a partir da release 12.1.2403 e dos patchs 12.1.2307.12 e 12.1.2311.6. | ||||||||||||
HIGH | CSRF Token Bypass | Durante as análises na aplicação, identificamos que ela utiliza token anti csrf. Porém, repetindo as requisições utilizando o mesmo token, foi possível perceber que não há uma verificação adequada deste controle, sendo possível replicar requisições sem o devido controle. Foi solucionada esta vulnerabilidade através da issue DFWKDATASUL-2316, liberada a partir da release 12.1.2407. | ||||||||||||
CVE-2019-17267 (jackson-databind-2.8.2) | Conforme link: https://access.redhat.com/security/cve/cve-2019-17267, os potenciais uso de exploração desta vulnerabilidade são: Mitigation
Apesar do arquivo jackson-databind-2.8.2.jar estar na versão que possui a vulnerabilidade, as mesmas não são exploraveis pois o produto não implementa o uso dos itens mencionados. Contudo como o produto possui compatibilidade com a versão 2.15.2 (onde a vulnerabilidade não foi identificada), estamos com planejamento interno para a atualização desta biblioteca. Issue: https://jiraproducao.totvs.com.br/browse/DFWKDATASUL-1786 | |||||||||||||
CVE-2023-20860 Security Bypass With Un-Prefixed Double Wildcard Pattern | O Spring Framework foi atualizado para a versão para a 5.3.30, sendo disponíveis a partir da release 12.1.2403 e em patch 12.1.2307.6 | |||||||||||||
RECOMENDAÇÃO APACHE TOMCAT | Geração de cookie somente para o path "/" | Desde a release 12.1.2209 esta opção é inserida automaticamente com a atualização via console: https://tdn.totvs.com/pages/releaseview.action?pageId=683180622, caso não esteja parametrizado sua inclusão é obrigatória. Para isto, basta editar o arquivo conf/context.xml, incluir o atribuito sessionCookiePath com o valor "/" conforme exemplo abaixo: | ||||||||||||
RECOMENDAÇÃO APACHE TOMCAT | Renomear cookie | Conforme recomendação da OWASP (Session ID Name Fingerprinting - https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html), a partir da release 12.1.2403 existe a possibilidade de editar o nome cookie. Para isto, basta editar o arquivo conf/context.xml, incluir o atribuito sessionCookieName com o valor "id" conforme exemplo abaixo: | ||||||||||||
RECOMENDAÇÃO OPENEDGE | OpenEdge Critical Alert: Arbitrary File Upload Vulnerability in WEB Transport Security Issue and Potential Impact: OpenEdge Product Alert: Denial of Service Vulnerability in WEB Transport Security Issue and Potential Impact: | No ERP Datasul não utilizamos o WEB Transport para comunicações com o PASOE. Caso o PASOE seja compartilhado para outras aplicações, a recomendação da Progress é atualizar as versões conforme abaixo:
| ||||||||||||
RECOMENDAÇÃO OPENEDGE | OpenEdge Critical Alert: Third-party software used by OpenEdge that qualifies CVEs it deems to be “high” vulnerabilities based on scores in the CVSS 3.1 base score range of 7.0 through 8.9. Security Issue, Potential Impact and Resolution: Qualifying vulnerabilities and affected components are listed on the left in this chart. The third-party version resolving each vulnerability is specified in the rightmost column. Links: | No ERP Datasul utilizamos o PASOE na arquitetura de nosso produto, sendo recomendada a atualização do OpenEdge para as versões abaixo. Para mais detalhes quanto as vulnerabilidades que a atualização irá sanar, consulte os links: 117-19 No ERP Datasul utilizamos o PASOE na arquitetura de nosso produto, sendo recomendada a atualização do OpenEdge para as versões abaixo e as vulnerabilidades que a atualização irá sanar: Atualizar para OpenEdge 12.8.1 Vulnerabilidades consideradas: | ||||||||||||
CVE Number | CVSS v3.1 | Affected OpenEdge | Mitigation/Impact | Vulnerable Third-Party | Fixed Third-Party | |||||||||
9.3 | ICU collation | None | MSVC++ 2010 Runtime | Removed from product | ||||||||||
7.1 | PASOE | None | guava-31.1-jre | guava-32.1.1-jre | ||||||||||
9.8 | OpenEdge CLI | None | Perl-5.26.1 | Perl-5.38.0 | ||||||||||
7.5 | ||||||||||||||
9.8 | ||||||||||||||
9.8 | ||||||||||||||
9.1 | ||||||||||||||
9.8 | ||||||||||||||
8.2 | ||||||||||||||
8.6 | ||||||||||||||
7.5 | ||||||||||||||
7.1 | ||||||||||||||
7.8 | ||||||||||||||
9.8 | ||||||||||||||
8.1 | ||||||||||||||
8.1 | ||||||||||||||
7.8 | ||||||||||||||
7.8 | ||||||||||||||
CVE Number | CVSS | Affected OpenEdge | Mitigation/ Impact | Vulnerable | Fixed | |||||||||
7.5 | PASOE | None | tomcat-coyote-9.0.78.jar | tomcat-coyote-9.0.85.jar | ||||||||||
7.5 | ||||||||||||||
7.1 | PASOE | None | guava-27.1-jre | guava-32.1.1-jre | ||||||||||
CVE Number | CVSS | Affected OpenEdge | Mitigation/ Impact | Vulnerable | Fixed | |||||||||
7.5 | OEM | none | snappy-java-1.1.0.1.jar | snappy-java-1.1.10.5.jar | ||||||||||
7.5 | 7.5 | PASOE | none | xercesImpl-2.6.2.jar | xercesImpl-2.12.2.jar | 7.5 | SonicMQ | none | ./sonic/MQ10.0/lib/ xercesImpl.jar: | ./sonic/MQ10.0/lib/xercesImpl-2.12.2.jar: | ||||
7.0 | OEM | none | jetty-http-9.4.14.v20181114.jar | Jetty-http-9.4.53.v20231009 | ||||||||||
7.5 | ||||||||||||||
7.5 | PASOE | none | catalina-8.5.93 | catalina-8.5.96 | ||||||||||
7.5 | 7.5 | PASOE | none | tomcat-coyote-8.5.87.jar | tomcat-coyote-9.0.85.jar | |||||||||
7.5 | All | none | OpenSSL-1.1.1t | OpenSSL-1.1.1v | ||||||||||
7.5 | 7.1 | PASOE | none | guava-20.0-jre | guava-32.1.1-jre | 8.6 | OEM | none | Orientdb-core-2.2.31 | Orientdb-core-2.2.37 | ||||
7.5 | OEM | none | snappy-java-1.1.0.1.jar | snappy-java-1.1.10.5.jar | ||||||||||
7.5 | RECOMENDAÇÃO OPENEDGE |
Vulnerable Version | Fixed Version |
---|---|
OpenEdge Release 11.7.18 and earlier | OpenEdge LTS Update 11.7.19 |
OpenEdge Release 12.2.13 and earlier | OpenEdge LTS Update 12.2.14 |
OpenEdge Release 12.8.0 | OpenEdge LTS Update 12.8.1 |
OpenEdge Critical Alert: OpenEdge Explorer and OpenEdge Management.
The Progress OpenEdge team has identified a security vulnerability in OpenEdge Management (OEM) and OpenEdge Explorer (OEE) in versions Release 11.7 Updates through OE 11.7.18 and Release 12.2 Updates through OE 12.2.13.
Security Issue and Potential Impact:
The ActiveMQ third party library version 5.15.11 contains a vulnerability described by CVE-2023-46604 which is used in the OpenEdge Explorer (OEE)/OpenEdge Management (OEM) product components of OpenEdge.
Resolution:
The impacted OpenEdge releases and the vulnerable library version(s) are listed in the left-side columns. The fixed OpenEdge releases and versions in which the vulnerability is resolved are listed in the right-side columns.
Links:
No ERP Datasul não utilizamos o OpenEdgeExplorer e o OpenEdge Management na arquitetura de nosso produto, sendo recomendada a atualização do OpenEdge para as versões abaixo e as vulnerabilidades que a atualização irá sanar:
OpenEdge Explorer
O OpenEdge Explorer não é mais instalado com a licença do PASOE, ele é instalado com a licença RDBMS, OE Studio ou Dataserver.
OpenEdge Management.
O OpenEdge Management é uma ferramenta de gerenciamento e administração do PASOE.
Name-Version
Release
Name-Version
through OE 11.7.18
activemq-legacy.jar
through OE 12.2.13
activemq-legacy.jar
activemq-legacy.jar
Vulnerable Version | Fixed Version | Last Recommended Version |
---|---|---|
OpenEdge LTS Update 11.7.18 and earlier | OpenEdge LTS Update 11.7.19 | OpenEdge LTS Update 11.7.20 or later |
OpenEdge LTS Update 12.2.13 and earlier | OpenEdge LTS Update 12.2.14 | OpenEdge LTS Update 12.2.16 or later |
OpenEdge 12.8.0 | OpenEdge LTS Update 12.8.1 | OpenEdge LTS Update 12.8.3 or later |
OpenEdge Critical Alert: OpenEdge Authentication Gateway and AdminServer.
The Progress OpenEdge team recently identified a security vulnerability in OpenEdge Release 11.7.18 and earlier, OpenEdge 12.2.13 and earlier, and OpenEdge 12.8.0.
Security Issue and Potential Impact:
When the OpenEdge Authentication Gateway (OEAG) is configured with an OpenEdge Domain that uses the OS local authentication provider to grant user-id and password logins on operating platforms supported by active releases of OpenEdge, a vulnerability in the authentication routines may lead to unauthorized access on attempted logins.
The AdminServer logins are always potentially vulnerable because they only support OS local logins. The OEAG is only vulnerable when an administrator has configured an OpenEdge domain to use the OS local authentication provider.
Resolution:
All customers on all OpenEdge releases are recommended to upgrade to the latest OpenEdge version of an Active Release immediately, if possible.
Links:
https://www.cve.org/CVERecord?id=CVE-2024-1403
No ERP Datasul utilizamos o OpenEdge Authentication Gateway e o AdminServer na arquitetura de nosso produto, sendo recomendada a atualização do OpenEdge para as versões abaixo e as vulnerabilidades que a atualização irá sanar:
OpenEdge Authentication Gateway
Todos os clientes que possuem o PASOE também podem utilizar o Authentication Gateway. Se optar por utilizá-lo precisa de uma licença adicional.
AdminServer
O AdminServer é requisito apenas no OE11. Apenas se for utilizar as ferramentas OpenEdge Explorer ou Management para fazer a administração do PASOE, aí sim elas requerem que o AdminServer esteja ativo também no OE12.
Vulnerable Version | Fixed Version | Last Recommended Version |
---|---|---|
OpenEdge Release 11.7.18 and earlier | OpenEdge LTS Update 11.7.19 | OpenEdge LTS Update 11.7.20 or later |
OpenEdge Release 12.2.13 and earlier | OpenEdge LTS Update 12.2.14 | OpenEdge LTS Update 12.2.16 or later |
OpenEdge Release 12.8.0 | OpenEdge LTS Update 12.8.1 | OpenEdge LTS Update 12.8.3 or later |
OpenEdge Critical Alert: OpenEdge Explorer and OpenEdge Management.
The Progress OpenEdge team has identified a security vulnerability in OpenEdge Management (OEM) and OpenEdge Explorer (OEE) in versions Release 11.7 Updates through OE 11.7.18 and Release 12.2 Updates through OE 12.2.13.
Security Issue and Potential Impact:
The ActiveMQ third party library version 5.15.11 contains a vulnerability described by CVE-2023-46604 which is used in the OpenEdge Explorer (OEE)/OpenEdge Management (OEM) product components of OpenEdge.
Resolution:
The impacted OpenEdge releases and the vulnerable library version(s) are listed in the left-side columns. The fixed OpenEdge releases and versions in which the vulnerability is resolved are listed in the right-side columns.
O OpenEdge Explorer e o OpenEdge Management pode ser utilizado para gerenciamento do ERP Datasul, sendo recomendada a atualização do OpenEdge para as versões abaixo:
OpenEdge Explorer
O OpenEdge Explorer não é mais instalado com a licença do PASOE, ele é instalado com a licença RDBMS, OE Studio ou Dataserver.
OpenEdge Management
O OpenEdge Management é uma ferramenta de gerenciamento e administração do PASOE.
Consulte os links abaixo para mais detalhes:
Vulnerable Version | Fixed Version | Last Recommended Version |
---|---|---|
Release 11.7 Updates through OE 11.7.18 | LTS Update OE 11.7.19 | OpenEdge LTS Update 11.7.20 or later |
Release 12.2 Updates through OE 12.2.13 | LTS Update OE 12.2.14 | OpenEdge LTS Update 12.2.16 or later |
All versions of OpenEdge up to 12.7 | Product Release 12.8.0 | OpenEdge LTS Update 12.8.3 or later |
OpenEdge Critical Alert: Unauthenticated Content Injection in OpenEdge Management web interface via ActiveMQ discovery service
The Progress OpenEdge team recently identified a security vulnerability in OpenEdge LTS Releases up to version 11.7.19, version 12.2.14 and version 12.8.2, including all the earlier minor Update levels of the LTS releases.
Security Issue and Potential Impact:
An ActiveMQ Discovery service is reachable by default on UDP port 6840 for OpenEdge Management (OEM) and OpenEdge Explorer (OEE) installations. This service is designed to process a custom packet structure received by any connected OEM/OEE client. No authentication is required to interact with this service and the auto-discovery feature is activated by default whenever an OEM/OEE application is started. NVD - CVE-2024-7654 (nist.gov)
Resolution:
In the patched version of OEE/OEM, the “auto-discovery” feature will be disabled by default. In other words, the new default value for the “allowDiscover” option will be “false”. By doing so, OEM clients will not default to receiving UDP multicast messages transmitted by remote AdminServers or other malicious actors seeking to inject HTML, CSS, other content into the OEM web interface that could spoof or deceive web interface users.
O OpenEdge Explorer e o OpenEdge Management pode ser utilizado para gerenciamento do ERP Datasul, sendo recomendada a atualização do OpenEdge para as versões abaixo:
Vulnerable Version | Fixed Version | Last Recommended Version |
---|---|---|
OpenEdge Release 11.7.19 and earlier | OpenEdge LTS Update 11.7.20 or later | OpenEdge LTS Update 11.7.20 or later |
OpenEdge Release 12.2.14 and earlier | OpenEdge LTS Update 12.2.15 or later | OpenEdge LTS Update 12.2.16 or later |
OpenEdge Release 12.8.2 and earlier | OpenEdge LTS Update 12.8.3 or later | OpenEdge LTS Update 12.8.3 or later |
OpenEdge Critical Alert: Client connections using default TLS certificates from OpenEdge may bypass TLS host name validation
The Progress OpenEdge team recently identified a security vulnerability in OpenEdge LTS Releases up to version 11.7.19 and version 12.2.14, including all the earlier minor Update levels of the LTS releases.
Security Issue and Potential Impact:
Client connections can bypass certificate host name validation when OpenEdge default certificates are used as part of the TLS handshake for a networked OpenEdge connection.
OpenEdge recommends against using OpenEdge default TLS certificates in a production environment for your OpenEdge application. NVD - CVE-2024-7346 (nist.gov)
Resolution:
OpenEdge default certificates are now subject to host name verification for TLS connections. The default certificates will not pass host name verification and will fail to connect. This follows the best practice to secure-by-default behavior and is not backward compatible.
Atualmente não utilizamos as conexões de cliente que usam certificados TLS no ERP Datasul, porém recomendamos a atualização conforme versões conforme abaixo:
Vulnerable Version | Fixed Version | Last Recommended Version |
---|---|---|
OpenEdge Release 11.7.19 and earlier | OpenEdge LTS Update 11.7.20 or later | OpenEdge LTS Update 11.7.20 or later |
OpenEdge Release 12.2.14 and earlier | OpenEdge LTS Update 12.2.15 or later | OpenEdge LTS Update 12.2.16 or later |
OpenEdge Critical Alert: Direct local client connections to MS Agents can bypass authentication
The Progress OpenEdge team recently identified a security vulnerability in OpenEdge LTS Releases up to version 11.7.18 and version 12.2.13, including all the earlier minor Update levels of the LTS releases.
Security Issue and Potential Impact:
A local OpenEdge client can connect directly to a MS Agent and perform requests that bypass required PASOE security checks. Once connected, an unauthorized request could execute arbitrary ABL code using the OS privileges of the MS agent process. Without proper authentication, it is possible to gain unauthorized access to the resources available on the PASOE instance.
OpenEdge recommends against using OpenEdge default TLS certificates in a production environment for your OpenEdge application. https://nvd.nist.gov/vuln/detail/CVE-2024-7345
Resolution:
Three remediation measures were applied to fix the vulnerable code:
Add a new timeout property that limits the time given to a request to be formulated as a complete message. This ensures that the system is less susceptible to a denial-of-service attack as the system will only wait the number of milliseconds set by this new property “AppServer.Agent.messageReadTimeout” in the “openedge.properties” file. The default for this property is 1000 milliseconds. The timeout is also used to protect against network protocol discovery.
Recognize a direct connection request to an MS Agent and secure the system by closing the socket and reporting the potential incident through log detection.
Utilize the property “AppServer.SessMgr.agentHost” in the “openedge.properties” file to exclusively set the host machine. If not specified, this will always resolve to “localhost”. This default pattern ensures that PASOE request processing runs locally.
No ERP Datasul utilizamos as conexões diretas de clientes locais com o MS Agents.
A recomendação da Progress é atualizar as versões conforme abaixo:
Vulnerable Version | Fixed Version | Last Recommended Version |
---|---|---|
OpenEdge Release 11.7.18 and earlier | OpenEdge LTS Update 11.7.19 or later | OpenEdge LTS Update 11.7.20 or later |
OpenEdge Release 12.2.13 and earlier | OpenEdge LTS Update 12.2.14 or later | OpenEdge LTS Update 12.2.16 or later |
OpenEdge Critical Alert: OpenEdge Third-Party Vulnerabilities Fixed In OpenEdge LTS Update 11.7.20, OpenEdge LTS Update 12.2.16, OpenEdge LTS Update 12.8.3
This document informs you of upgrades to third-party software used by OpenEdge that generally qualifies CVEs in the NIST National Vulnerability Database (NVD) it deems to be “high” vulnerabilities based on scores in the CVSS 3.1 base score range of 7.0 through 8.9 and “critical” vulnerabilities based on CVSS 3.1 base score 9.0 and higher. Occasionally other vulnerability database will be considered when there is no CVE in the NVD, such as Sonatype Nexus Respository.
Security Issue and Potential Impact:
Qualifying vulnerabilities and affected components are listed on the right in this chart. The third-party version resolving each vulnerability is specified in the rightmost column.
Resolution:
The listed vulnerabilities are remediated by applying the OpenEdge Update.
Recomendamos a atualização do OpenEdge conforme versões abaixo, dos quais resolvem vulnerabilidades em softwares de terceiros.
Para mais detalhes quanto as vulnerabilidades que a atualização irá sanar, consulte os links:
Vulnerable Version | Fixed Version | Last Recommended Version |
---|---|---|
OpenEdge Release 11.7.19 and earlier | OpenEdge LTS Update 11.7.20 or later | OpenEdge LTS Update 11.7.20 or later |
OpenEdge Release 12.2.15 and earlier | OpenEdge LTS Update 12.2.16 or later | OpenEdge LTS Update 12.2.16 or later |
OpenEdge Release 12.8.2 and earlier | OpenEdge LTS Update 12.8.3 or later | OpenEdge LTS Update 12.8.3 or later |
OpenEdge Critical Alert: Unauthenticated Content Injection in OpenEdge Management web interface via ActiveMQ discovery service
The Progress OpenEdge team recently identified a security vulnerability in OpenEdge LTS Releases up to version 11.7.19, version 12.2.14 and version 12.8.2, including all the earlier minor Update levels of the LTS releases.
Security Issue and Potential Impact:
An ActiveMQ Discovery service is reachable by default on UDP port 6840 for OpenEdge Management (OEM) and OpenEdge Explorer (OEE) installations. This service is designed to process a custom packet structure received by any connected OEM/OEE client. No authentication is required to interact with this service and the auto-discovery feature is activated by default whenever an OEM/OEE application is started. NVD - CVE-2024-7654 (nist.gov)
Resolution:
In the patched version of OEE/OEM, the “auto-discovery” feature will be disabled by default. In other words, the new default value for the “allowDiscover” option will be “false”. By doing so, OEM clients will not default to receiving UDP multicast messages transmitted by remote AdminServers or other malicious actors seeking to inject HTML, CSS, other content into the OEM web interface that could spoof or deceive web interface users.
No ERP Datasul utilizamos o OpenEdge Management web interface via ActiveMQ.
Caso o PASOE seja compartilhado para outras aplicações, a recomendação da Progress é atualizar as versões conforme abaixo:
OpenEdge Critical Alert: Client connections using default TLS certificates from OpenEdge may bypass TLS host name validation
The Progress OpenEdge team recently identified a security vulnerability in OpenEdge LTS Releases up to version 11.7.19 and version 12.2.14, including all the earlier minor Update levels of the LTS releases.
Security Issue and Potential Impact:
Client connections can bypass certificate host name validation when OpenEdge default certificates are used as part of the TLS handshake for a networked OpenEdge connection.
OpenEdge recommends against using OpenEdge default TLS certificates in a production environment for your OpenEdge application. NVD - CVE-2024-7346 (nist.gov)
Resolution:
OpenEdge default certificates are now subject to host name verification for TLS connections. The default certificates will not pass host name verification and will fail to connect. This follows the best practice to secure-by-default behavior and is not backward compatible.
No ERP Datasul não utilizamos as conexões de cliente que usam certificados TLS.
A recomendação da Progress é atualizar as versões conforme abaixo:
OpenEdge Critical Alert: Direct local client connections to MS Agents can bypass authentication
The Progress OpenEdge team recently identified a security vulnerability in OpenEdge LTS Releases up to version 11.7.18 and version 12.2.13, including all the earlier minor Update levels of the LTS releases.
Security Issue and Potential Impact:
A local OpenEdge client can connect directly to a MS Agent and perform requests that bypass required PASOE security checks. Once connected, an unauthorized request could execute arbitrary ABL code using the OS privileges of the MS agent process. Without proper authentication, it is possible to gain unauthorized access to the resources available on the PASOE instance.
OpenEdge recommends against using OpenEdge default TLS certificates in a production environment for your OpenEdge application. https://nvd.nist.gov/vuln/detail/CVE-2024-7345
Resolution:
Three remediation measures were applied to fix the vulnerable code:
Add a new timeout property that limits the time given to a request to be formulated as a complete message. This ensures that the system is less susceptible to a denial-of-service attack as the system will only wait the number of milliseconds set by this new property “AppServer.Agent.messageReadTimeout” in the “openedge.properties” file. The default for this property is 1000 milliseconds. The timeout is also used to protect against network protocol discovery.
Recognize a direct connection request to an MS Agent and secure the system by closing the socket and reporting the potential incident through log detection.
Utilize the property “AppServer.SessMgr.agentHost” in the “openedge.properties” file to exclusively set the host machine. If not specified, this will always resolve to “localhost”. This default pattern ensures that PASOE request processing runs locally.
.
No ERP Datasul utilizamos as conexões diretas de clientes locais com o MS Agents
A recomendação da Progress é atualizar as versões conforme abaixo:
OpenEdge LTS Update 12.2.14 or later
OpenEdge Critical Alert: OpenEdge Third-Party Vulnerabilities Fixed In OpenEdge LTS Update 11.7.20
This document informs you of upgrades to third-party software used by OpenEdge that generally qualifies CVEs in the NIST National Vulnerability Database (NVD) it deems to be “high” vulnerabilities based on scores in the CVSS 3.1 base score range of 7.0 through 8.9 and “critical” vulnerabilities based on CVSS 3.1 base score 9.0 and higher. Occasionally other vulnerability database will be considered when there is no CVE in the NVD, such as Sonatype Nexus Respository.
Security Issue and Potential Impact:
Qualifying vulnerabilities and affected components are listed on the right in this chart. The third-party version resolving each vulnerability is specified in the rightmost column.
Resolution:
The listed vulnerabilities are remediated by applying the OpenEdge Update
.
Atualizar para OpenEdge 11.7.20
Vulnerabilidades consideradas:
CVE
Number
v3.1
Base Score
Components
Version
8.8
Classic
AppServer
No
velocity-1.7 jar
Upgraded to velocity-engine-core:2.3
OCTA-60057
CVE-2023-24998
7.5
PASOE,
PASOE DOCKER
No
esapi-2.4.0.e.jar
Upgraded to esapi-2.5.2.0
OCTA-60766
CVE-2023-34478
9.8
OEM
No
shiro-web-1.10.0.jar
Upgraded to shiro-web-1.12.0.jar
OCTA-56325
CVE-2017-12629
9.8
PDSOE
No
lucene-queryparser-4.4.0.jar
Upgraded to lucene-core-4.4.0-atlassian-5.jar,
lucene-queryparser-4.4.0-atlassian-5.jar,
lucene-analyzers-common-4.4.0-atlassian-5.jar
OCTA-58815
CVE-2022-22965
9.8
OEM
PASOE
No
Spring Framework 5.3.32
spring-beans-4.3.30.RELEASE. jar
Upgraded to Spring Framework 5.3.34
OCTA-58955
OCTA-61229
CVE-2024-22259
8.1
CVE-2020-10673
8.8
OEM
No
{DLC}/java/ext/ activemq-all-5.15.6.jar
Removed unused library
OCTA-60790
CVE-2024-22262
8.1
PASOE,
Classic
AppServe
No
Spring-5.3.27.jar, spring-messaging-4.3.3-RELEASE.jar
Upgraded to Spring Framework 5.3.34
Removed unused libraries:
spring-messaging-4.3.3.RELEASE.jar,
spring-jms-4.3.3.RELEASE.jar, spring-orm-4.3.3.RELEASE.jar, spring-oxm-4.3.3.RELEASE.jar
OCTA-66456
OCTA-67620
CVE-2024-22259
8.1
CVE-2024-22234
8.1
CVE-2018-14721
10.0
OEM, OEDB Container
No
jackson-databind-2.9.6 (In ehcache jar-2.10.6)
Removed library ehcache jar
OCTA-60235
CVE-2018-14718
9.8
CVE-2018-14719
9.8
CVE-2018-14720
9.8
CVE-2018-19360
9.8
CVE-2018-19361
9.8
CVE-2018-19362
9.8
CVE-2019-12086
7.5
CVE-2019-14379
9.8
CVE-2019-14439
7.5
CVE-2019-14540
9.8
CVE-2019-14892
9.8
CVE-2019-14893
9.8
CVE-2019-16335
9.8
CVE-2019-16942
9.8
CVE-2019-16943
9.8
CVE-2019-17267
9.8
CVE-2019-17531
9.8
CVE-2019-20330
9.8
CVE-2020-10650
8.1
CVE-2020-10672
8.8
CVE-2020-10673
8.8
CVE-2020-10968
8.8
CVE-2020-10969
8.8
CVE-2020-11111
8.8
CVE-2020-11112
8.8
CVE-2020-11113
8.8
CVE-2020-11619
8.1
CVE-2020-11620
8.1
CVE-2020-14060
8.1
CVE-2020-14061
8.1
CVE-2020-14062
8.1
CVE-2020-14195
8.1
CVE-2020-24616
8.1
CVE-2020-24750
8.1
CVE-2020-25649
7.5
CVE-2020-35490
8.1
CVE-2020-35491
8.1
CVE-2020-36179
8.1
CVE-2020-36180
8.1
CVE-2020-36181
8.1
CVE-2020-36182
8.1
CVE-2020-36183
8.1
CVE-2020-36184
8.1
CVE-2020-36185
8.1
CVE-2020-36186
8.1
CVE-2020-36187
8.1
CVE-2020-36188
8.1
CVE-2020-36189
8.1
CVE-2020-36518
7.5
CVE-2020-8840
9.8
CVE-2020-9546
9.8
CVE-2020-9547
9.8
CVE-2020-9548
9.8
CVE-2021-20190
8.1
CVE-2022-42003
7.5
CVE-2022-42004
7.5
CVE-2022-42003
7.5
PASOE, OEM
No
jackson-core-2.13.4.jar
Upgraded to jackson-core-2.13.4.2
OCTA-61777
CVE-2022-42004
7.5
CVE-2024-28752
9.8
PASOE
No
cxf-core-3.5.5.jar
Upgraded to cxf-core-3.5.8.jar
OCTA-66740
CVE-2024-23672
7.5
PASOE
No
tomcat-websocket.jar - 8.5.97
Upgraded to tomcat-websocket-8.5.100
OCTA-66784
CVE-2023-6378
7.5
PASOE, PDSOE,
Docker
No
logback-core- 1.2.10 & logback-classic- 1.2.10
Upgraded to logback-core- 1.2.13 & logback-classic- 1.2.13
OCTA-58696
CVE-2020-13936
8.8
PDSOE, PASOE
No
velocity-1.7.jar
Upgraded to
velocity-engine-core-2.3.jar
OCTA-58814
CVE-2023-1436
7.5
PDSOE
No
jettison-1.2.jar, xercesImpl 2.6.2, gson jar 2.2.2
Upgraded to
jettison- 1.5.4.jar,
xercesImpl 2.12.2,
gson jar 2.10.1
OCTA-58817
CVE-2022-45693
7.5
CVE-2022-45685
7.5
CVE-2022-40150
7.5
CVE-2022-40149
7.5
CVE-2022-25647
7.5
CVE-2012-0881
7.5
PDSOE
No
xercesimpl-2.6.2.jar:
jackson.core- 2.14.1,
jackson.databind- 2.14.1,
jackson.annotations- 2.14.1
Upgraded to
xercesImp-2.12.2
OCTA-60024
CVE-2013-4002
7.1
OpenEdge Critical Alert: OpenEdge Third-Party Product Alert Vulnerability Fixed In OpenEdge LTS Update 12.2.16
This document informs you of upgrades to third-party software used by OpenEdge that generally qualifies CVEs in the NIST National Vulnerability Database (NVD) it deems to be “high” vulnerabilities based on scores in the CVSS 3.1 base score range of 7.0 through 8.9 and “critical” vulnerabilities based on CVSS 3.1 base score 9.0 and higher. Occasionally other vulnerability database will be considered when there is no CVE in the NVD, such as Sonatype Nexus Respository.
Security Issue and Potential Impact:
Qualifying vulnerabilities and affected components are listed on the right in this chart. The third-party version resolving each vulnerability is specified in the rightmost column.
Resolution:
The listed vulnerabilities are remediated by applying the OpenEdge Update
.
Atualizar para OpenEdge 12.2.16
Vulnerabilidades consideradas:
CVE
Number
CVSS
v3.1
Base Score
Affected OE
Components
Has Mitigation
Vulnerable
Third-Party
Version
Remediations
CVE-2023-1370
7.5
PASOE
No
json-smart 2.4.10, nimbus-jose-jwt-9.22.jar
Upgraded to json-smart-2.5.1, nimbus-jose-jwt-9.37.3
OCTA-60249
CVE-2024-24549
7.5
PASOE
No
tomcat-coyote.jar - 9.0.85
Upgraded to tomcat-coyote.jar - 9.0.88
OCTA-66780
CVE-2024-23672
7.5
CVE-2023-46589
7.5
PASOE
No
tomcat-coyote.jar - 9.0.78,
tomcat-catalina.jar - 9.0.78
Upgraded to tomcat - 9.0.85
OCTA-58644
CVE-2023-44487
7.5
CVE-2023-46604
9.8
OEM
No
activemq-all. 5.15.10
Updated to activemq-all. 5.15.16
Removed library activemq-openwire-legacy-5.15.10.jar
OCTA-58258
CVE-2022-42003
9.8
PASOE
No
wstx-asl-3.2.1
Removed library wstx-asl-3.2.1
OCTA-61477/OCTA-66848
CVE-2021-34428
9.8
CVE-2024-22257
8.2
PASOE
No
spring-security-web-5.3.13. RELEASE. jar,
spring-security-core-5.3.x
Upgraded to Spring Security 5.8.11
OCTA-57134
OCTA-61766
CVE-2023-20860
7.5
OEM
No
/spring-core-5.3.22.jar
Updated to /spring-core-5.3.32.jar
OCTA-60262
CVE-2020-11620
8.1
PASOE,
Classic
AppServer
No
Spring Framework 5.3.27
Updated to Spring Framework 5.3.34,
Removed unused libraries:
spring-messaging-4.3.3.RELEASE.jar,
spring-jms-4.3.3.RELEASE.jar, spring-orm-4.3.3.RELEASE.jar, spring-oxm-4.3.3.RELEASE.jar
OCTA-66456
OCTA-67620
OCTA-66418
OCTA-60261
OCTA-60262
OCTA-61229
OCTA-60938
CVE-2024-22259
8.1
CVE-2024-22260
8.1
CVE-2024-22261
8.1
CVE-2024-22262
8.1
CVE-2024-22259
CVE-2024-22243
CVE-2018-14721
10.0
OEM,
OEDB Container
No
jackson-databind-2.9.6 (In ehcache jar-2.10.6)
Removed ehcache jar
OCTA-60235
OCTA-60789
CVE-2018-14718
9.8
CVE-2018-14719
9.8
CVE-2018-14720
9.8
CVE-2018-19360
9.8
CVE-2018-19361
9.8
CVE-2018-19362
9.8
CVE-2019-12086
7.5
CVE-2019-14379
9.8
CVE-2019-14439
7.5
CVE-2019-14540
9.8
CVE-2019-14892
9.8
CVE-2019-14893
9.8
CVE-2019-16335
9.8
CVE-2019-16942
9.8
CVE-2019-16943
9.8
CVE-2019-17267
9.8
CVE-2019-17531
9.8
CVE-2019-20330
9.8
CVE-2020-10650
8.1
CVE-2020-10672
8.8
CVE-2020-10673
8.8
CVE-2020-10968
8.8
CVE-2020-10969
8.8
CVE-2020-11111
8.8
CVE-2020-11112
8.8
CVE-2020-11113
8.8
CVE-2020-11619
8.1
CVE-2020-11620
8.1
CVE-2020-14060
8.1
CVE-2020-14061
8.1
CVE-2020-14062
8.1
CVE-2020-14195
8.1
CVE-2020-24616
8.1
CVE-2020-24750
8.1
CVE-2020-25649
7.5
CVE-2020-35490
8.1
CVE-2020-35491
8.1
CVE-2020-36179
8.1
CVE-2020-36180
8.1
CVE-2020-36181
8.1
CVE-2020-36182
8.1
CVE-2020-36183
8.1
CVE-2020-36184
8.1
CVE-2020-36185
8.1
CVE-2020-36186
8.1
CVE-2020-36187
8.1
CVE-2020-36188
8.1
CVE-2020-36189
8.1
CVE-2020-36518
7.5
CVE-2020-8840
9.8
CVE-2020-9546
9.8
CVE-2020-9547
9.8
CVE-2020-9548
9.8
CVE-2021-20190
8.1
CVE-2022-42003
7.5
CVE-2022-42004
7.5
CVE-2022-42003
7.5
PASOE, OEM
No
jackson-core-2.13.4.jar
Updated to jackson-core-2.14.1
OCTA-61777
CVE-2022-42004
7.5
CVE-2024-28752
9.8
PASOE
No
cxf-core-3.5.5.jar
Updated to cxf-core-3.5.8.jar
OCTA-66740
CVE-2023-6378
7.5
PASOE, PDSOE,
Docker
No
logback-core- 1.2.10 & logback-classic- 1.2.10
Updated to logback-core- 1.2.13 & logback-classic- 1.2.13
OCTA-58696
CVE-2018-20225
7.8
OEDB Container
No
Python package
Removed yum package from RedHat UBI9
OCTA-60460
CVE-2023-3587
8.8
PDSOE,
PASOE Container,
OEDB Container
No
RedHat UBI9 release: 9.3-1361
Upgraded to RedHat UBI9 release 9.4-1134
OCTA-67560
CVE-2023-3446
5.3
CVE-2024-33599
8.1
CVE-2024-2961
8.2
OpenEdge Critical Alert:OpenEdge Third-Party Vulnerability Fixed in OpenEdge LTS Update 12.8.3
This document informs you of upgrades to third-party software used by OpenEdge that generally qualifies CVEs in the NIST National Vulnerability Database (NVD) it deems to be “high” vulnerabilities based on scores in the CVSS 3.1 base score range of 7.0 through 8.9 and “critical” vulnerabilities based on CVSS 3.1 base score 9.0 and higher. Occasionally other vulnerability database will be considered when there is no CVE in the NVD, such as Sonatype Nexus Respository.
Security Issue and Potential Impact:
Qualifying vulnerabilities and affected components are listed on the right in this chart. The third-party version resolving each vulnerability is specified in the rightmost column.
Resolution:
The listed vulnerabilities are remediated by applying the OpenEdge Update
.
Atualizar para OpenEdge 12.8.3
Vulnerabilidades consideradas:
CVE
Number
CVSS
v3.1
Base Score
Affected OE
Components
Has Mitigation
Vulnerable Third-Party Version
Remediations
CVE-2024-28752
9.8
PASOE
No
cxf-core-3.5.5.jar
Upgraded to cxf-core-4.0.4.jar
OCTA-66740
CVE-2023-46604
9.8
OEM
No
activemq-openwire-legacy-5.15.11.jar
Upgraded to activemq-client-5.15.16.jar,
removed activemq-openwire-legacy-5.15.16.jar
OCTA-58258
CVE-2023-46589
7.5
PASOE
No
tomcat-catalina.jar-10.1.15
Upgraded to tomcat-catalina-10.1.19.jar
OCTA-61193
CVE-2022-40146
7.5
PASOE
No
batik-css-1.14.jar
batik-i18n-1.14.jar
Upgraded to
batik-css-1.17.jar,
batik-i18n-1.17.jar
OCTA-61475
CVE-2023-35116
4.7
PASOE
No
jackson-databind-2.15.2.jar
Upgraded to jackson-databind-2.17.0.jar
OCTA-61478
CVE-2024-28752
7.5
PASOE
No
camel-cxf-soap-4.0.0.ja
Upgraded to camel-cxf-soap-4.4.1.jar
OCTA-61479
CVE-2023-1370
7.5
PASOE
No
json-smart 2.4.10, nimbus-jose-jwt-9.22.jar
Upgraded to json-smart-2.5.1, nimbus-jose-jwt-9.37.3
OCTA-60249
CVE-2020-11971 *
7.5
OEM
No
camel-core-2.24.2.jar
Upgraded to Activemq-6.0.1,
Spring 6.0.19,
Shiro 1.13.0,
camel 4.4.1
OCTA-60195
CVE-2021-4459
7.4
PASOE
No
angus-mail-1.0.0.jar
Removed library
OCTA-61480
CVE-2024-22243
8.1
PASOE
No
Spring Framework 6.0.14
Upgraded to Spring Framework 6.0.19
OCTA-66456
CVE-2024-24549
8.1
CVE-2024-22259
8.1
CVE-2024-22260
8.1
CVE-2024-22261
8.1
CVE-2024-22262
8.1
CVE-2024-22257
8.2
PASOE
No
Spring Security 6.1.6 or earlier,
spring-security-core-6.0.17.jar
Upgraded to Spring Security to 6.1.7,
spring-security-core-6.1.8
OCTA-61766
OCTA-60778
CVE-2024-22234
7.4
CVE-2023-46604
9.8
OEM
No
activemq-all. 5.15.10
Updated to activemq-all. 5.15.16, Removed library activemq-openwire-legacy-5.15.10.jar
OCTA-58258
CVE-2022-42003
9.8
PASOE
No
wstx-asl-3.2.1
Removed library wstx-asl-3.2.1
OCTA-61477
CVE-2021-34428
9.8
CVE-2018-14721
10.0
OEM,
OEDB Container
No
jackson-databind-2.9.6 (In ehcache jar-2.10.6)
Removed ehcache jar
OCTA-60235
CVE-2018-14718
9.8
CVE-2018-14719
9.8
CVE-2018-14720
9.8
CVE-2018-19360
9.8
CVE-2018-19361
9.8
CVE-2018-19362
9.8
CVE-2019-12086
7.5
CVE-2019-14379
9.8
CVE-2019-14439
7.5
CVE-2019-14540
9.8
CVE-2019-14892
9.8
CVE-2019-14893
9.8
CVE-2019-16335
9.8
CVE-2019-16942
9.8
CVE-2019-16943
9.8
CVE-2019-17267
9.8
CVE-2019-17531
9.8
CVE-2019-20330
9.8
CVE-2020-10650
8.1
CVE-2020-10672
8.8
CVE-2020-10673
8.8
CVE-2020-10968
8.8
CVE-2020-10969
8.8
CVE-2020-11111
8.8
CVE-2020-11112
8.8
CVE-2020-11113
8.8
CVE-2020-11619
8.1
CVE-2020-11620
8.1
CVE-2020-14060
8.1
CVE-2020-14061
8.1
CVE-2020-14062
8.1
CVE-2020-14195
8.1
CVE-2020-24616
8.1
CVE-2020-24750
8.1
CVE-2020-25649
7.5
CVE-2020-35490
8.1
CVE-2020-35491
8.1
CVE-2020-36179
8.1
CVE-2020-36180
8.1
CVE-2020-36181
8.1
CVE-2020-36182
8.1
CVE-2020-36183
8.1
CVE-2020-36184
8.1
CVE-2020-36185
8.1
CVE-2020-36186
8.1
CVE-2020-36187
8.1
CVE-2020-36188
8.1
CVE-2020-36189
8.1
CVE-2020-36518
7.5
CVE-2020-8840
9.8
CVE-2020-9546
9.8
CVE-2020-9547
9.8
CVE-2020-9548
9.8
CVE-2021-20190
8.1
CVE-2023-46589
9.8
PASOE
No
Tomcat 10.1.15
Upgraded to Tomcat 10.1.19
OCTA-61193
CVE-2018-20225
7.8
OEDB Container
No
Python package
Removed yum package from RedHat UBI9
OCTA-60460
CVE-2023-3587
8.8
PDSOE,
PASOE Container,
OEDB Container
No
RedHat UBI9 release: 9.3-1361
Upgraded to RedHat UBI9 release 9.4-1134
OCTA-67560