NVD Vulnerability Detail
Search Exploit, PoC
CVE-2014-0107
Summary

The TransformerFactory in Apache Xalan-Java before 2.7.2 does not properly restrict access to certain properties when FEATURE_SECURE_PROCESSING is enabled, which allows remote attackers to bypass expected restrictions and load arbitrary classes or access external resources via a crafted (1) xalan:content-header, (2) xalan:entities, (3) xslt:content-header, or (4) xslt:entities property, or a Java property that is bound to the XSLT 1.0 system-property function.

Publication Date April 16, 2014, 8:13 a.m.
Registration Date Jan. 26, 2021, 3:04 p.m.
Last Update Nov. 21, 2024, 11:01 a.m.
CVSS2.0 : HIGH
Score 7.5
Vector AV:N/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges いいえ
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:xalan-java:2.6.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:xalan-java:*:*:*:*:*:*:*:* 2.7.1
cpe:2.3:a:apache:xalan-java:2.0.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:xalan-java:2.0.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:xalan-java:2.5.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:xalan-java:2.5.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:xalan-java:2.4.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:xalan-java:2.1.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:xalan-java:2.7.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:xalan-java:2.5.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:xalan-java:2.2.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:xalan-java:2.4.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:xalan-java:1.0.0:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:a:oracle:webcenter_sites:11.1.1.8.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:webcenter_sites:7.6.2:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
Apache Xalan-Java の TransformerFactory における期待した制限を回避される脆弱性
Title Apache Xalan-Java の TransformerFactory における期待した制限を回避される脆弱性
Summary

Apache Xalan-Java の TransformerFactory は、FEATURE_SECURE_PROCESSING が有効な場合、特定のプロパティを適切に制限しないため、期待した制限を回避され、任意のクラスをロードされる、または外部リソースにアクセスされる脆弱性が存在します。

Possible impacts 第三者により、巧妙に細工された以下のプロパティ、または XSLT 1.0 の system-property 関数にバインドされた Java プロパティを介して、期待した制限を回避され、任意のクラスをロードされる、または外部リソースにアクセスされる可能性があります。  (1) xalan:content-header プロパティ (2) xalan:entities プロパティ (3) xslt:content-header プロパティ (4) xslt:entities プロパティ
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date March 25, 2014, midnight
Registration Date April 21, 2014, 3:35 p.m.
Last Update April 16, 2019, 5:11 p.m.
Affected System
Apache Software Foundation
Xalan-Java 2.7.2 未満
Xalan-Java 2.7.2 未満
オラクル
Oracle Fusion Middleware の Oracle WebCenter Sites 11.1.1.8.0
Oracle Fusion Middleware の Oracle WebCenter Sites 7.6.2
Oracle Fusion Middleware の Oracle WebLogic Server 10.3.6
Oracle Fusion Middleware の Oracle WebLogic Server 12.1.2
Oracle Fusion Middleware の Oracle WebLogic Server 12.1.3
Oracle Fusion Middleware の Oracle WebCenter Sites 11.1.1.8.0
Oracle Fusion Middleware の Oracle WebCenter Sites 7.6.2
Oracle Fusion Middleware の Oracle WebLogic Server 10.3.6
Oracle Fusion Middleware の Oracle WebLogic Server 12.1.2
Oracle Fusion Middleware の Oracle WebLogic Server 12.1.3
IBM
IBM Security QRadar SIEM 7.1 MR2
IBM Security QRadar SIEM 7.2 MR2
IBM Security QRadar SIEM 7.1 MR2
IBM Security QRadar SIEM 7.2 MR2
IBM Sterling B2B Integrator 5.1
IBM Sterling B2B Integrator 5.1
IBM Sterling Control Center 5.2.01 から 5.2.11
IBM Sterling Control Center 5.2.01 から 5.2.11
IBM Sterling File Gateway 2.1
IBM Sterling File Gateway 2.1
日立
Cosminexus XML Processor 
Cosminexus XML Processor 
Hitachi Infrastructure Analytics Advisor 
Hitachi Infrastructure Analytics Advisor 
uCosminexus Application Server -R
uCosminexus Application Server Express
uCosminexus Application Server Light
uCosminexus Application Server -R
uCosminexus Application Server Express
uCosminexus Application Server Light
uCosminexus Application Server Enterprise 
uCosminexus Application Server Enterprise 
uCosminexus Application Server Smart Edition 
uCosminexus Application Server Smart Edition 
uCosminexus Application Server Standard 
uCosminexus Application Server Standard -R
uCosminexus Application Server Standard 
uCosminexus Application Server Standard -R
uCosminexus Client 
uCosminexus Client for Plug-in
uCosminexus Client 
uCosminexus Client for Plug-in
uCosminexus Developer 01
uCosminexus Developer Professional
uCosminexus Developer Professional for Plug-in
uCosminexus Developer 01
uCosminexus Developer Professional
uCosminexus Developer Professional for Plug-in
uCosminexus Developer Light 
uCosminexus Developer Light 
uCosminexus Developer Standard 
uCosminexus Developer Standard 
uCosminexus Operator 
uCosminexus Operator 
uCosminexus Primary Server Base
uCosminexus Primary Server Base
uCosminexus Server Standard-R
uCosminexus Server Standard-R
uCosminexus Service Architect 
uCosminexus Service Architect 
uCosminexus Service Platform 
uCosminexus Service Platform - Messaging
uCosminexus Service Platform 
uCosminexus Service Platform - Messaging
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2014年04月21日]
  掲載
[2014年08月06日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:IBM (1677145) を追加
[2014年09月09日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:IBM (1681933) を追加
  ベンダ情報:IBM (1680703) を追加
[2014年10月30日]
  ベンダ情報:レッドハット (RHSA-2014:1351) を追加
[2016年01月28日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2016 Critical Patch Update Released) を追加
[2017年05月16日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (hitachi-sec-2017-113) を追加		 Feb. 17, 2018, 10:37 a.m.
1 [2019年04月16日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (hitachi-sec-2019-108) を追加		 April 16, 2019, 3 p.m.