Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

ubuntu логотип

CVE-2021-40690

Опубликовано: 19 сент. 2021
Источник: ubuntu
Приоритет: medium
EPSS Низкий
CVSS2: 5
CVSS3: 7.5

Описание

All versions of Apache Santuario - XML Security for Java prior to 2.2.3 and 2.1.7 are vulnerable to an issue where the "secureValidation" property is not passed correctly when creating a KeyInfo from a KeyInfoReference element. This allows an attacker to abuse an XPath Transform to extract any local .xml files in a RetrievalMethod element.

РелизСтатусПримечание
bionic

released

2.0.10-2~18.04.1
devel

not-affected

2.1.7-2
esm-apps/bionic

released

2.0.10-2~18.04.1
esm-apps/focal

released

2.0.10-2+deb11u1build0.20.04.1
esm-apps/jammy

not-affected

2.1.7-2
esm-apps/noble

not-affected

2.1.7-2
esm-apps/xenial

needed

esm-infra-legacy/trusty

DNE

focal

released

2.0.10-2+deb11u1build0.20.04.1
hirsute

ignored

end of life

Показывать по

Ссылки на источники

EPSS

Процентиль: 48%
0.00244
Низкий

5 Medium

CVSS2

7.5 High

CVSS3

Связанные уязвимости

redhat логотип

CVE-2021-40690

CVSS3: 7.5
redhat
больше 4 лет назад

All versions of Apache Santuario - XML Security for Java prior to 2.2.3 and 2.1.7 are vulnerable to an issue where the "secureValidation" property is not passed correctly when creating a KeyInfo from a KeyInfoReference element. This allows an attacker to abuse an XPath Transform to extract any local .xml files in a RetrievalMethod element.

nvd логотип

CVE-2021-40690

CVSS3: 7.5
nvd
больше 4 лет назад

All versions of Apache Santuario - XML Security for Java prior to 2.2.3 and 2.1.7 are vulnerable to an issue where the "secureValidation" property is not passed correctly when creating a KeyInfo from a KeyInfoReference element. This allows an attacker to abuse an XPath Transform to extract any local .xml files in a RetrievalMethod element.

debian логотип

CVE-2021-40690

CVSS3: 7.5
debian
больше 4 лет назад

All versions of Apache Santuario - XML Security for Java prior to 2.2. ...

github логотип

GHSA-j8wc-gxx9-82hx

CVSS3: 7.5
github
больше 4 лет назад

Exposure of Sensitive Information to an Unauthorized Actor in Apache Santuario

fstec логотип

BDU:2023-07907

CVSS3: 7.5
fstec
больше 4 лет назад

Уязвимость платформы для обеспечения безопасности XML-данных в приложениях на языке Java XML Apache Santuario XML Security for Java, связанная с ошибками при передачи свойства "secureValidation" при создании объекта KeyInfo из элемента KeyInfoReference, позволяющая нарушителю получить доступ к произвольным файлам с расширением .xml

EPSS

Процентиль: 48%
0.00244
Низкий

5 Medium

CVSS2

7.5 High

CVSS3