| Title | XMLSec などの製品で使用される libxml2 における XML 外部エンティティの脆弱性 |
|---|---|
| Summary | XMLSec およびその他の製品で使用される libxml2 は、現在のドキュメントが読み込まれる可能性があるが、他のファイルが開かれていない可能性を示すフラグを直接的に提供しないため、XML 外部エンティティ (XXE) の脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-611: Improper Restriction of XML External Entity Reference ('XXE') (XML 外部エンティティ参照の不適切な制限) と識別されています。 https://cwe.mitre.org/data/definitions/611.html |
| Possible impacts | 第三者により、巧妙に細工されたドキュメントを介して、XML 外部エンティティ (XXE) 攻撃を実行される可能性があります。 |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Oct. 11, 2016, midnight |
| Registration Date | Nov. 17, 2016, 1:46 p.m. |
| Last Update | Nov. 17, 2016, 1:46 p.m. |
| CVSS3.0 : 重要 | |
| Score | 7.8 |
|---|---|
| Vector | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| CVSS2.0 : 警告 | |
| Score | 6.8 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| xmlsoft.org |
| libxml2 2.9.4 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2016年11月17日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | libxml2 2.9.4 and earlier, as used in XMLSec 1.2.23 and earlier and other products, does not offer a flag directly indicating that the current document may be read but other files may not be opened, which makes it easier for remote attackers to conduct XML External Entity (XXE) attacks via a crafted document. |
|---|---|
| Publication Date | Nov. 16, 2016, 9:59 a.m. |
| Registration Date | Jan. 26, 2021, 2:20 p.m. |
| Last Update | Nov. 21, 2024, noon |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:xmlsoft:libxml2:*:*:*:*:*:*:*:* | 2.9.4 | ||||
| execution environment | |||||
| 1 | cpe:2.3:a:xmlsec_project:xmlsec:*:*:*:*:*:*:*:* | ||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:esm:*:*:* | |||||