BDU:2018-00149

Опубликовано: 12 июл. 2016

Источник: fstec

CVSS3: 7.8

CVSS2: 9.3

EPSS Низкий

Описание

Уязвимость библиотеки Apache XML-RPC (ws-xmlrpc) связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять атаки SSRF (server-side request forgery) с помощью специально подготовленных схем DTD (Document Type Definition)

Вендор

Apache Software Foundation

Наименование ПО

XML-RPC

Версия ПО

3.1.3 (XML-RPC)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Ограничение использования программного обеспечения до выпуска обновления, устраняющего данную уязвимость или использование сторонних средств защиты

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5002
CVE
http://www.securitytracker.com/id/1036294
Security Tracker
http://www.securityfocus.com/bid/91736
BID

EPSS

Процентиль: 87%

0.0353

Низкий

7.8 High

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

CVE-2016-5002

CVSS3: 6.4

redhat

больше 9 лет назад

XML external entity (XXE) vulnerability in the Apache XML-RPC (aka ws-xmlrpc) library 3.1.3, as used in Apache Archiva, allows remote attackers to conduct server-side request forgery (SSRF) attacks via a crafted DTD.

CVE-2016-5002

CVSS3: 7.8

nvd

больше 8 лет назад

GHSA-wp35-6jqv-r33m

CVSS3: 7.8

github

больше 3 лет назад

Apache XML-RPC XXE Vulnerability

EPSS

Процентиль: 87%

0.0353

Низкий

7.8 High

CVSS3

9.3 Critical

CVSS2