Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-02442

Опубликовано: 12 апр. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость синтаксического анализатора XML Java-библиотеки Apache PDFBox связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки с помощью специально созданного файла с расширением XFDF

Вендор

Fedora Project
Oracle Corp.
Apache Software Foundation

Наименование ПО

Fedora
Oracle Communications Messaging Server
PDFBox
Retail Xstore Point of Service

Версия ПО

29 (Fedora)
30 (Fedora)
8.1.0 (Oracle Communications Messaging Server)
2.0.14 (PDFBox)
16.0.6 (Retail Xstore Point of Service)
18.0.3 (Retail Xstore Point of Service)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Микропрограммный код

Операционные системы и аппаратные платформы

Fedora Project Fedora 29
Fedora Project Fedora 30

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache PDFBox:
https://lists.apache.org/thread.html/1a3756557f8cb02790b7183ccf7665ae23f608a421c4f723113bca79@%3Cusers.pdfbox.apache.org%3E
https://lists.apache.org/thread.html/8a19bd6d43e359913341043c2a114f91f9e4ae170059539ad1f5673c@%3Ccommits.tika.apache.org%3E
https://lists.apache.org/thread.html/bc8db1bf459f1ad909da47350ed554ee745abe9f25f2b50cad4e06dd@%3Cserver-dev.james.apache.org%3E
https://lists.apache.org/thread.html/be86fcd7cd423a3fe6b73a3cb9d7cac0b619d0deb99e6b5d172c98f4@%3Ccommits.tika.apache.org%3E
https://lists.apache.org/thread.html/r0a2141abeddae66dd57025f1681c8425834062b7c0c7e0b1d830a95d@%3Cusers.pdfbox.apache.org%3E
https://lists.apache.org/thread.html/r32b8102392a174b17fd19509a9e76047f74852b77b7bf46af95e45a2@%3Cserver-dev.james.apache.org%3E
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6HKVPTJWZGUB4MH4AAOWMRJHRDBYFHGJ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/POPOGHJ5CVMUVCRQU7APBAN5IVZGZFDX/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.13208
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-0228

CVSS3: 9.8
ubuntu
почти 7 лет назад

Apache PDFBox 2.0.14 does not properly initialize the XML parser, which allows context-dependent attackers to conduct XML External Entity (XXE) attacks via a crafted XFDF.

redhat логотип

CVE-2019-0228

CVSS3: 5.9
redhat
почти 7 лет назад

Apache PDFBox 2.0.14 does not properly initialize the XML parser, which allows context-dependent attackers to conduct XML External Entity (XXE) attacks via a crafted XFDF.

nvd логотип

CVE-2019-0228

CVSS3: 9.8
nvd
почти 7 лет назад

Apache PDFBox 2.0.14 does not properly initialize the XML parser, which allows context-dependent attackers to conduct XML External Entity (XXE) attacks via a crafted XFDF.

debian логотип

CVE-2019-0228

CVSS3: 9.8
debian
почти 7 лет назад

Apache PDFBox 2.0.14 does not properly initialize the XML parser, whic ...

github логотип

GHSA-c9jj-3wvg-q65h

CVSS3: 9.8
github
больше 6 лет назад

Vulnerability that affects org.apache.pdfbox:pdfbox

EPSS

Процентиль: 94%
0.13208
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2