CVE-2018-11788

Опубликовано: 07 янв. 2019

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Средний

Описание

Apache Karaf provides a features deployer, which allows users to "hot deploy" a features XML by dropping the file directly in the deploy folder. The features XML is parsed by XMLInputFactory class. Apache Karaf XMLInputFactory class doesn't contain any mitigation codes against XXE. This is a potential security risk as an user can inject external XML entities in Apache Karaf version prior to 4.1.7 or 4.2.2. It has been fixed in Apache Karaf 4.1.7 and 4.2.2 releases.

Ссылки

http://karaf.apache.org/security/cve-2018-11788.txt
Vendor Advisory
http://www.securityfocus.com/bid/106479
Third Party Advisory
VDB Entry
http://karaf.apache.org/security/cve-2018-11788.txt
Vendor Advisory
http://www.securityfocus.com/bid/106479
Third Party Advisory
VDB Entry

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:karaf:*:*:*:*:*:*:*:*

Версия до 4.1.7 (исключая)

cpe:2.3:a:apache:karaf:*:*:*:*:*:*:*:*

Версия от 4.2.0 (включая) до 4.2.1 (включая)

cpe:2.3:a:apache:karaf:4.2.0:milestone1:*:*:*:*:*:*

cpe:2.3:a:apache:karaf:4.2.0:milestone2:*:*:*:*:*:*

EPSS

Процентиль: 96%

0.24747

Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-611

Связанные уязвимости

CVE-2018-11788

CVSS3: 7.3

redhat

около 7 лет назад

CVE-2018-11788

CVSS3: 9.8

debian

около 7 лет назад

Apache Karaf provides a features deployer, which allows users to "hot ...

GHSA-92wj-x78c-m4fx

CVSS3: 9.8

github

около 7 лет назад

XML External Entity Reference in Apache Karaf

BDU:2019-04862

CVSS3: 9.8

fstec

около 7 лет назад

Уязвимость класса XMLInputFactory контейнера OSGi Apache Karaf, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 96%

0.24747

Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-611