CVE-2013-4152

Опубликовано: 22 авг. 2013

Источник: redhat

CVSS2: 5

EPSS Высокий

Описание

The Spring OXM wrapper in Spring Framework before 3.2.4 and 4.0.0.M1, when using the JAXB marshaller, does not disable entity resolution, which allows context-dependent attackers to read arbitrary files, cause a denial of service, and conduct CSRF attacks via an XML external entity declaration in conjunction with an entity reference in a (1) DOMSource, (2) StAXSource, (3) SAXSource, or (4) StreamSource, aka an XML External Entity (XXE) issue.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat JBoss Enterprise Web Server 1	amq-6	Affected
Red Hat JBoss Enterprise Web Server 1	fuse-6	Affected
Red Hat JBoss Enterprise Web Server 1	fuse-enterprise-esb-7	Will not fix
Red Hat JBoss Enterprise Web Server 1	fuse-mb-5.5.1	Will not fix
Red Hat JBoss Enterprise Web Server 1	fuse-mq-enterprise-7	Will not fix
Red Hat JBoss A-MQ 6.1		Fixed	RHSA-2014:0401	14.04.2014
Red Hat JBoss Fuse 6.1		Fixed	RHSA-2014:0400	14.04.2014
Red Hat JBoss SOA Platform 5.3	spring	Fixed	RHSA-2014:0212	25.02.2014
Red Hat OpenShift Enterprise 2.0	activemq	Fixed	RHSA-2014:0245	03.03.2014
RHEL 6 Version of OpenShift Enterprise 1.2	activemq	Fixed	RHSA-2014:0254	05.03.2014

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

https://bugzilla.redhat.com/show_bug.cgi?id=1000186Framework: XML External Entity (XXE) injection flaw

EPSS

Процентиль: 99%

0.84056

Высокий

5 Medium

CVSS2

Связанные уязвимости

CVE-2013-4152

ubuntu

больше 11 лет назад

CVE-2013-4152

nvd

больше 11 лет назад

CVE-2013-4152

debian

больше 11 лет назад

The Spring OXM wrapper in Spring Framework before 3.2.4 and 4.0.0.M1, ...

GHSA-rp4p-g69r-438x

github

около 3 лет назад

Cross-Site Request Forgery in Spring Framework

EPSS

Процентиль: 99%

0.84056

Высокий

5 Medium

CVSS2