CVE-2013-6429

Опубликовано: 14 янв. 2014

Источник: redhat

CVSS2: 5

EPSS Высокий

Описание

The SourceHttpMessageConverter in Spring MVC in Spring Framework before 3.2.5 and 4.0.0.M1 through 4.0.0.RC1 does not disable external entity resolution, which allows remote attackers to read arbitrary files, cause a denial of service, and conduct CSRF attacks via crafted XML, aka an XML External Entity (XXE) issue, and a different vulnerability than CVE-2013-4152 and CVE-2013-7315.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
OpenShift Enterprise 1	activemq	Will not fix
Red Hat Enterprise Virtualization 3	jasperreports-server-pro	Will not fix
Red Hat JBoss Enterprise Web Server 1	amq-6	Affected
Red Hat JBoss Enterprise Web Server 1	fuse-6	Affected
Red Hat JBoss Enterprise Web Server 1	fuse-enterprise-esb-7	Affected
Red Hat JBoss Enterprise Web Server 1	fuse-mq-enterprise-7	Affected
Red Hat JBoss Enterprise Web Server 1	fuse-others	Will not fix
Red Hat OpenShift Enterprise 2	activemq	Will not fix
Red Hat JBoss A-MQ 6.1		Fixed	RHSA-2014:0401	14.04.2014
Red Hat JBoss Fuse 6.1		Fixed	RHSA-2014:0400	14.04.2014

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-611

https://bugzilla.redhat.com/show_bug.cgi?id=1053290Framework: XML External Entity (XXE) injection flaw

EPSS

Процентиль: 99%

0.73336

Высокий

5 Medium

CVSS2

Связанные уязвимости

CVE-2013-6429

ubuntu

больше 11 лет назад

CVE-2013-6429

nvd

больше 11 лет назад

CVE-2013-6429

debian

больше 11 лет назад

The SourceHttpMessageConverter in Spring MVC in Spring Framework befor ...

GHSA-g6hf-f9cq-q7w7

github

около 3 лет назад

Cross-Site Request Forgery in Spring Framework

EPSS

Процентиль: 99%

0.73336

Высокий

5 Medium

CVSS2