CVE-2010-3260

Опубликовано: 27 апр. 2011

Источник: nvd

CVSS2: 6.4

EPSS Низкий

Описание

oxf/xml/xerces/XercesSAXParserFactoryImpl.java in the xforms-server component in the XForms service in Orbeon Forms before 3.9 does not properly restrict DTDs in Ajax requests, which allows remote attackers to read arbitrary files or send HTTP requests to intranet servers via an entity declaration in conjunction with an entity reference, related to an "XML injection" issue.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:orbeon:forms:*:*:*:*:*:*:*:*

Версия до 3.8.1 (включая)

cpe:2.3:a:orbeon:forms:1.5:*:*:*:*:*:*:*

cpe:2.3:a:orbeon:forms:2.0:*:*:*:*:*:*:*

cpe:2.3:a:orbeon:forms:2.1:*:*:*:*:*:*:*

cpe:2.3:a:orbeon:forms:2.2:*:*:*:*:*:*:*

cpe:2.3:a:orbeon:forms:2.5:*:*:*:*:*:*:*

cpe:2.3:a:orbeon:forms:2.6:*:*:*:*:*:*:*

cpe:2.3:a:orbeon:forms:2.7:*:*:*:*:*:*:*

cpe:2.3:a:orbeon:forms:2.8:*:*:*:*:*:*:*

cpe:2.3:a:orbeon:forms:3.0:*:*:*:*:*:*:*

cpe:2.3:a:orbeon:forms:3.5:*:*:*:*:*:*:*

cpe:2.3:a:orbeon:forms:3.6:*:*:*:*:*:*:*

cpe:2.3:a:orbeon:forms:3.7.1:*:*:*:*:*:*:*

cpe:2.3:a:orbeon:forms:3.8:*:*:*:*:*:*:*

EPSS

Процентиль: 56%

0.00333

Низкий

6.4 Medium

CVSS2

Дефекты

CWE-264

Связанные уязвимости

GHSA-7h8g-7wrh-4jfh

github

больше 3 лет назад