Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-01635

Опубликовано: 03 нояб. 2016
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость анализатора XML-файлов Xerces2 Java связана с ошибками управления ресурсом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально сформированного XML-сообщения

Вендор

Apache Software Foundation
IBM Corp.
Oracle Corp.
Google Inc

Наименование ПО

Xerces2 Java
IBM Java
Java SE
Jrockit
Java SE Embedded
Android Studio

Версия ПО

до 2.12.0 (Xerces2 Java)
от 5.0 до 5.0 SR16-FP3 (IBM Java)
от 6 до 6 SR14 (IBM Java)
от 6.0.1 до 6.0.1 SR6 (IBM Java)
от 7 до 7 SR5 (IBM Java)
до 7u40 включительно (Java SE)
до 6u60 включительно (Java SE)
до 5.0u51 включительно (Java SE)
до R28.2.8 включительно (Jrockit)
до R27.7.6 включительно (Jrockit)
до 7u40 включительно (Java SE Embedded)
2025.2.3.9 (Android Studio)

Тип ПО

Прикладное ПО информационных систем
Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

IBM Corp. IBM Java от 5.0 до 5.0 SR16-FP3
IBM Corp. IBM Java от 6 до 6 SR14
IBM Corp. IBM Java от 6.0.1 до 6.0.1 SR6
IBM Corp. IBM Java от 7 до 7 SR5

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Xerces2 Java:
https://issues.apache.org/jira/browse/XERCESJ-1679
https://lists.apache.org/thread.html/49dc6702104a86ecbb40292dcd329ce9ae4c32b74733199ecab14a73%40%3Cj-users.xerces.apache.org%3E
https://lists.apache.org/thread.html/708d94141126eac03011144a971a6411fcac16d9c248d1d535a39451%40%3Csolr-user.lucene.apache.org%3E
Для IBM Java:
http://www-01.ibm.com/support/docview.wss?uid=swg1IC98015
http://www-01.ibm.com/support/docview.wss?uid=swg21644197
http://www-01.ibm.com/support/docview.wss?uid=swg21653371
http://www-01.ibm.com/support/docview.wss?uid=swg21657539
http://www.ibm.com/developerworks/java/jdk/alerts/#IBM_Security_Update_July_2013
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 90%
0.05597
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2013-4002

ubuntu
больше 12 лет назад

XMLscanner.java in Apache Xerces2 Java Parser before 2.12.0, as used in the Java Runtime Environment (JRE) in IBM Java 5.0 before 5.0 SR16-FP3, 6 before 6 SR14, 6.0.1 before 6.0.1 SR6, and 7 before 7 SR5 as well as Oracle Java SE 7u40 and earlier, Java SE 6u60 and earlier, Java SE 5.0u51 and earlier, JRockit R28.2.8 and earlier, JRockit R27.7.6 and earlier, Java SE Embedded 7u40 and earlier, and possibly other products allows remote attackers to cause a denial of service via vectors related to XML attribute names.

redhat логотип

CVE-2013-4002

redhat
больше 12 лет назад

XMLscanner.java in Apache Xerces2 Java Parser before 2.12.0, as used in the Java Runtime Environment (JRE) in IBM Java 5.0 before 5.0 SR16-FP3, 6 before 6 SR14, 6.0.1 before 6.0.1 SR6, and 7 before 7 SR5 as well as Oracle Java SE 7u40 and earlier, Java SE 6u60 and earlier, Java SE 5.0u51 and earlier, JRockit R28.2.8 and earlier, JRockit R27.7.6 and earlier, Java SE Embedded 7u40 and earlier, and possibly other products allows remote attackers to cause a denial of service via vectors related to XML attribute names.

nvd логотип

CVE-2013-4002

nvd
больше 12 лет назад

XMLscanner.java in Apache Xerces2 Java Parser before 2.12.0, as used in the Java Runtime Environment (JRE) in IBM Java 5.0 before 5.0 SR16-FP3, 6 before 6 SR14, 6.0.1 before 6.0.1 SR6, and 7 before 7 SR5 as well as Oracle Java SE 7u40 and earlier, Java SE 6u60 and earlier, Java SE 5.0u51 and earlier, JRockit R28.2.8 and earlier, JRockit R27.7.6 and earlier, Java SE Embedded 7u40 and earlier, and possibly other products allows remote attackers to cause a denial of service via vectors related to XML attribute names.

debian логотип

CVE-2013-4002

debian
больше 12 лет назад

XMLscanner.java in Apache Xerces2 Java Parser before 2.12.0, as used i ...

github логотип

GHSA-7j4h-8wpf-rqfh

github
почти 4 года назад

Missing XML Validation in Apache Xerces2

EPSS

Процентиль: 90%
0.05597
Низкий

7.5 High

CVSS3

7.8 High

CVSS2