製品・ソフトウェアに関する情報
Vulnerability Search
Expat におけるサービス運用妨害 (DoS) の脆弱性
Title Expat におけるサービス運用妨害 (DoS) の脆弱性
Summary

Expat は、アプリケーション開発者が XML_SetEntityDeclHandler 関数を使用していない場合、エンティティ拡張を適切に処理しないため、サービス運用妨害 (リソース消費) 状態にされる、イントラネットサーバに HTTP リクエストを送信される、または任意のファイルを読まれる脆弱性が存在します。 本件は、XML 外部エンティティ (XXE) の問題に関する脆弱性です。

Possible impacts 第三者により、巧妙に細工された XML ドキュメントを介して、サービス運用妨害 (リソース消費) 状態にされる、イントラネットサーバに HTTP リクエストを送信される、または任意のファイルを読まれる可能性があります。
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date Feb. 21, 2013, midnight
Registration Date Jan. 23, 2014, 4:33 p.m.
Last Update Jan. 23, 2014, 4:33 p.m.
CVSS2.0 : 警告
Score 6.8
Vector AV:N/AC:M/Au:N/C:P/I:P/A:P
Affected System
Expat
Expat 2.1.0 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2014年01月23日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2013-0340
Summary

expat 2.1.0 and earlier does not properly handle entities expansion unless an application developer uses the XML_SetEntityDeclHandler function, which allows remote attackers to cause a denial of service (resource consumption), send HTTP requests to intranet servers, or read arbitrary files via a crafted XML document, aka an XML External Entity (XXE) issue. NOTE: it could be argued that because expat already provides the ability to disable external entity expansion, the responsibility for resolving this issue lies with application developers; according to this argument, this entry should be REJECTed, and each affected application would need its own CVE.

Publication Date Jan. 22, 2014, 3:55 a.m.
Registration Date Jan. 26, 2021, 10:40 a.m.
Last Update Nov. 21, 2024, 10:47 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:libexpat_project:libexpat:*:*:*:*:*:*:*:* 2.4.0
Configuration2 or higher or less more than less than
cpe:2.3:a:python:python:*:*:*:*:*:*:*:* 3.8.0 3.8.12
cpe:2.3:a:python:python:*:*:*:*:*:*:*:* 3.9.0 3.9.7
cpe:2.3:a:python:python:*:*:*:*:*:*:*:* 3.7.0 3.7.12
cpe:2.3:a:python:python:*:*:*:*:*:*:*:* 3.6.0 3.6.15
Configuration3 or higher or less more than less than
cpe:2.3:o:apple:ipados:*:*:*:*:*:*:*:* 14.8
cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:* 14.8
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:* 11.6
cpe:2.3:o:apple:watchos:*:*:*:*:*:*:*:* 8.0
cpe:2.3:o:apple:tvos:*:*:*:*:*:*:*:* 15.0
Related information, measures and tools
Common Vulnerabilities List