製品・ソフトウェアに関する情報

JVN脆弱性詳細

EpubCheck に XML 外部実体参照 (XXE) に関する脆弱性

Title	EpubCheck に XML 外部実体参照 (XXE) に関する脆弱性
Summary	EpubCheck には、XML 外部実体参照 (XXE) に関する脆弱性が存在します。 XML 外部実体参照 (XXE) (CWE-611) - CVE-2016-9487 EpubCheck は、EPUB ファイルが適切な形式になっているか検証するためのツールです。単体でコマンドラインツールとして使用されたり、EPUB リーダなどのソフトウェアプロジェクトのなかで使用されたりします。 EpubCheck 4.0.1 には、EPUB ファイル検証処理において XML データを解析する際、外部実体参照を適切に制限していない問題が存在します。 CWE-611: Improper Restriction of XML External Entity Reference ('XXE') https://cwe.mitre.org/data/definitions/611.html
Possible impacts	細工された EPUB ファイルを処理することで、遠隔の第三者によって、システム上の任意のファイルにアクセスされたり、システムから任意のリクエストを送信されたりする可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正したバージョン 4.0.2 をリリースしています。
Publication Date	Dec. 13, 2016, midnight
Registration Date	Dec. 15, 2016, 4:42 p.m.
Last Update	Dec. 15, 2016, 4:42 p.m.

Affected System

International Digital Publishing Forum

EpubCheck 4.0.1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-9487	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9487
National Vulnerability Database (NVD)
2	CVE-2016-9487	https://nvd.nist.gov/vuln/detail/CVE-2016-9487

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-611	https://cwe.mitre.org/data/definitions/611.html

ベンダー情報

No	Name	URL
Adobe Security Bulletin
1	APSB16-45: Security update available for Adobe Digital Editions	https://helpx.adobe.com/security/products/Digital-Editions/apsb16-45.html
GitHub
2	EpubCheck 4.0.2	https://github.com/IDPF/epubcheck/releases/tag/v4.0.2
IDPF
3	EPUB	http://idpf.org/epub

その他

Change Log

No	Changed Details	Date of change
0	[2016年12月15日] 掲載	Feb. 17, 2018, 10:37 a.m.
1	[2019年07月11日] 参考情報：National Vulnerability Database (NVD) (CVE-2016-9487) を追加	July 11, 2019, 5:28 p.m.

NVD Vulnerability Information

CVE-2016-9487

Summary	EpubCheck 4.0.1 does not properly restrict resolving external entities when parsing XML in EPUB files during validation. An attacker who supplies a specially crafted EPUB file may be able to exploit this behavior to read arbitrary files, or have the victim execute arbitrary requests on his behalf, abusing the victim's trust relationship with other entities.
Publication Date	July 14, 2018, 5:29 a.m.
Registration Date	Jan. 26, 2021, 2:20 p.m.
Last Update	Nov. 21, 2024, 12:01 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:w3:epubcheck:4.0.1:::::::*

Related information, measures and tools

No	URL	タグ
1	https://www.kb.cert.org/vuls/id/779243	Third Party Advisory US Government Resource
2	https://www.kb.cert.org/vuls/id/779243	Third Party Advisory US Government Resource
3	https://www.securityfocus.com/bid/94864/	Third Party Advisory VDB Entry
4	https://www.securityfocus.com/bid/94864/	Third Party Advisory VDB Entry

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-611	XML 外部エンティティ参照の不適切な制限	https://cwe.mitre.org/data/definitions/611.html