CVE-2018-1259

Опубликовано: 11 мая 2018

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

Spring Data Commons, versions 1.13 prior to 1.13.12 and 2.0 prior to 2.0.7, used in combination with XMLBeam 1.4.14 or earlier versions, contains a property binder vulnerability caused by improper restriction of XML external entity references as underlying library XMLBeam does not restrict external reference expansion. An unauthenticated remote malicious user can supply specially crafted request parameters against Spring Data's projection-based request payload binding to access arbitrary files on the system.

Ссылки

https://access.redhat.com/errata/RHSA-2018:1809
Third Party Advisory
https://access.redhat.com/errata/RHSA-2018:3768
Third Party Advisory
https://pivotal.io/security/cve-2018-1259
Vendor Advisory
https://www.oracle.com/security-alerts/cpujul2022.html
https://access.redhat.com/errata/RHSA-2018:1809
Third Party Advisory
https://access.redhat.com/errata/RHSA-2018:3768
Third Party Advisory
https://pivotal.io/security/cve-2018-1259
Vendor Advisory
https://www.oracle.com/security-alerts/cpujul2022.html

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:pivotal_software:spring_data_commons:*:*:*:*:*:*:*:*

Версия от 1.13 (включая) до 1.13.11 (включая)

cpe:2.3:a:pivotal_software:spring_data_commons:*:*:*:*:*:*:*:*

Версия от 2.0 (включая) до 2.0.6 (включая)

Конфигурация 2

Одно из

cpe:2.3:a:pivotal_software:spring_data_rest:*:*:*:*:*:*:*:*

Версия от 2.6 (исключая) до 2.6.11 (включая)

cpe:2.3:a:pivotal_software:spring_data_rest:*:*:*:*:*:*:*:*

Версия от 3.0 (включая) до 3.0.6 (включая)

Конфигурация 3

cpe:2.3:a:xmlbeam:xmlbeam:*:*:*:*:*:*:*:*

Версия до 1.4.14 (включая)

EPSS

Процентиль: 93%

0.09831

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-611

Связанные уязвимости

CVE-2018-1259

CVSS3: 7.3

redhat

больше 7 лет назад

GHSA-m929-7fr6-cvjg