Podatność CVE-2013-6429


Publikacja: 2014-01-26

Opis:
The SourceHttpMessageConverter in Spring MVC in Spring Framework before 3.2.5 and 4.0.0.M1 through 4.0.0.RC1 does not disable external entity resolution, which allows remote attackers to read arbitrary files, cause a denial of service, and conduct CSRF attacks via crafted XML, aka an XML External Entity (XXE) issue, and a different vulnerability than CVE-2013-4152 and CVE-2013-7315.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
High
Spring Framework 3.2.4 XML External Entity (XXE) injection
Pivotal Security...
15.01.2014

Typ:

CWE-611

(Information Exposure Through XML External Entity Reference)

CVSS2 => (AV:N/AC:M/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
6.8/10
6.4/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Springsource -> Spring framework 
Pivotal software -> Spring framework 

 Referencje:
http://rhn.redhat.com/errata/RHSA-2014-0400.html
http://www.gopivotal.com/security/cve-2013-6429
http://www.securityfocus.com/archive/1/530770/100/0/threaded
http://www.securityfocus.com/bid/64947
https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05324755
https://jira.springsource.org/browse/SPR-11078?page=com.atlassian.jira.plugin.system.issuetabpanels:worklog-tabpanel

Copyright 2022, cxsecurity.com

 

Back to Top