| Title | Direct Web Remoting (DWR) における XML 外部実体参照 (XXE) に関する脆弱性 |
|---|---|
| Summary | Direct Web Remoting (DWR) は、Ajax アプリケーションを Java で開発するためのフレームワークです。DWR には、XML 外部実体参照 (XXE) に関する脆弱性 (CWE-611) が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 寺田 健 氏 |
| Possible impacts | アプリケーションが DOM データを変換する機能 (DOMConverter, JDOMConverter, DOM4JConverter, XOMConverter) を使用している場合、細工されたリクエストを処理した際に、サーバ上の任意のファイルを読みとられる可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに DWR を最新版へアップデートし、DWR を利用して開発したアプリケーションの JAR ファイルを置き換えてください。 |
| Publication Date | Nov. 14, 2014, midnight |
| Registration Date | Nov. 14, 2014, 12:03 p.m. |
| Last Update | Nov. 25, 2014, 5:47 p.m. |
| CVSS2.0 : 警告 | |
| Score | 5.8 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:P/I:N/A:P |
| Direct Web Remoting |
| DWR Version 2.0.10 およびそれ以前 |
| DWR Version 3.0.RC2 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2014年11月14日] 掲載 [2014年11月25日] 参考情報:National Vulnerability Database (NVD) (CVE-2014-5325) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The (1) DOMConverter, (2) JDOMConverter, (3) DOM4JConverter, and (4) XOMConverter functions in Direct Web Remoting (DWR) through 2.0.10 and 3.x through 3.0.RC2 allow remote attackers to read arbitrary files via DOM data containing an XML external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue. |
|---|---|
| Publication Date | Nov. 24, 2014, 11:59 a.m. |
| Registration Date | Jan. 26, 2021, 3:14 p.m. |
| Last Update | Nov. 21, 2024, 11:11 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:directwebremoting:direct_web_remoting:3.0:rc1:*:*:*:*:*:* | |||||
| cpe:2.3:a:directwebremoting:direct_web_remoting:*:*:*:*:*:*:*:* | 2.0.10 | ||||
| cpe:2.3:a:directwebremoting:direct_web_remoting:3.0:rc2:*:*:*:*:*:* | |||||