Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-00235

Опубликовано: 17 апр. 2017
Источник: fstec
CVSS3: 9.8
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость компонента xmlParsePEReference (parser.c) библиотеки для анализа XML-файлов libxml2 связана с недостаточным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании и с помощью специально сформированного файла

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

libxml2

Версия ПО

до 2.9.4 включительно (libxml2)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://android.googlesource.com/platform/external/libxml2/+/308396a55280f69ad4112d4f9892f4cbeff042aa
https://bugzilla.redhat.com/show_bug.cgi?id=1462203
https://gitlab.gnome.org/GNOME/libxml2/commit/90ccb58242866b0ba3edbef8fe44214a101c2b3e

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 49%
0.00255
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-7375

CVSS3: 9.8
ubuntu
почти 8 лет назад

A flaw in libxml2 allows remote XML entity inclusion with default parser flags (i.e., when the caller did not request entity substitution, DTD validation, external DTD subset loading, or default DTD attributes). Depending on the context, this may expose a higher-risk attack surface in libxml2 not usually reachable with default parser flags, and expose content from local files, HTTP, or FTP servers (which might be otherwise unreachable).

redhat логотип

CVE-2017-7375

CVSS3: 6.5
redhat
почти 9 лет назад

A flaw in libxml2 allows remote XML entity inclusion with default parser flags (i.e., when the caller did not request entity substitution, DTD validation, external DTD subset loading, or default DTD attributes). Depending on the context, this may expose a higher-risk attack surface in libxml2 not usually reachable with default parser flags, and expose content from local files, HTTP, or FTP servers (which might be otherwise unreachable).

nvd логотип

CVE-2017-7375

CVSS3: 9.8
nvd
почти 8 лет назад

A flaw in libxml2 allows remote XML entity inclusion with default parser flags (i.e., when the caller did not request entity substitution, DTD validation, external DTD subset loading, or default DTD attributes). Depending on the context, this may expose a higher-risk attack surface in libxml2 not usually reachable with default parser flags, and expose content from local files, HTTP, or FTP servers (which might be otherwise unreachable).

debian логотип

CVE-2017-7375

CVSS3: 9.8
debian
почти 8 лет назад

A flaw in libxml2 allows remote XML entity inclusion with default pars ...

github логотип

GHSA-ww2p-x466-vpwf

CVSS3: 9.8
github
больше 3 лет назад

A flaw in libxml2 allows remote XML entity inclusion with default parser flags (i.e., when the caller did not request entity substitution, DTD validation, external DTD subset loading, or default DTD attributes). Depending on the context, this may expose a higher-risk attack surface in libxml2 not usually reachable with default parser flags, and expose content from local files, HTTP, or FTP servers (which might be otherwise unreachable).

EPSS

Процентиль: 49%
0.00255
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2