BDU:2022-01899

Опубликовано: 04 мар. 2022

Источник: fstec

CVSS3: 9.1

CVSS2: 9.4

EPSS Низкий

Описание

Уязвимость реализации объекта extractor.rdfa.XSLTStylesheet класса XSLTStylesheet библиотеки Apache Any23 связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки

Вендор

Apache Software Foundation

Наименование ПО

Any23

Версия ПО

до 2.7 (Any23)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://lists.apache.org/thread/y6cm5n3ksohsrhzqknqhzy7p3mtkyk23

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-25312
CVE

EPSS

Процентиль: 82%

0.01719

Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

CVE-2022-25312

CVSS3: 9.1

nvd

почти 4 года назад

An XML external entity (XXE) injection vulnerability was discovered in the Any23 RDFa XSLTStylesheet extractor and is known to affect Any23 versions < 2.7. XML external entity injection (also known as XXE) is a web security vulnerability that allows an attacker to interfere with an application's processing of XML data. It often allows an attacker to view files on the application server filesystem, and to interact with any back-end or external systems that the application itself can access. This issue is fixed in Apache Any23 2.7.

GHSA-2rmm-87v7-34rj

CVSS3: 9.1

github

почти 4 года назад

Improper Restriction of XML External Entity Reference in Any23

EPSS

Процентиль: 82%

0.01719

Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2