Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04862

Опубликовано: 07 янв. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость класса XMLInputFactory контейнера OSGi Apache Karaf связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

Karaf

Версия ПО

до 4.1.7 (Karaf)
до 4.2.2 (Karaf)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
http://karaf.apache.org/security/cve-2018-11788.txt

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.24747
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2018-11788

CVSS3: 7.3
redhat
около 7 лет назад

Apache Karaf provides a features deployer, which allows users to "hot deploy" a features XML by dropping the file directly in the deploy folder. The features XML is parsed by XMLInputFactory class. Apache Karaf XMLInputFactory class doesn't contain any mitigation codes against XXE. This is a potential security risk as an user can inject external XML entities in Apache Karaf version prior to 4.1.7 or 4.2.2. It has been fixed in Apache Karaf 4.1.7 and 4.2.2 releases.

nvd логотип

CVE-2018-11788

CVSS3: 9.8
nvd
около 7 лет назад

Apache Karaf provides a features deployer, which allows users to "hot deploy" a features XML by dropping the file directly in the deploy folder. The features XML is parsed by XMLInputFactory class. Apache Karaf XMLInputFactory class doesn't contain any mitigation codes against XXE. This is a potential security risk as an user can inject external XML entities in Apache Karaf version prior to 4.1.7 or 4.2.2. It has been fixed in Apache Karaf 4.1.7 and 4.2.2 releases.

debian логотип

CVE-2018-11788

CVSS3: 9.8
debian
около 7 лет назад

Apache Karaf provides a features deployer, which allows users to "hot ...

github логотип

GHSA-92wj-x78c-m4fx

CVSS3: 9.8
github
около 7 лет назад

XML External Entity Reference in Apache Karaf

EPSS

Процентиль: 96%
0.24747
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2