NVD Vulnerability Detail

CVE-2016-9318

Summary	libxml2 2.9.4 and earlier, as used in XMLSec 1.2.23 and earlier and other products, does not offer a flag directly indicating that the current document may be read but other files may not be opened, which makes it easier for remote attackers to conduct XML External Entity (XXE) attacks via a crafted document.
Publication Date	Nov. 16, 2016, 9:59 a.m.
Registration Date	Jan. 26, 2021, 2:20 p.m.
Last Update	Nov. 21, 2024, noon

Affected software configurations

Configuration2	or higher	or less	more than	less than
cpe:2.3:o:canonical:ubuntu_linux:16.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:12.04::::esm:::
cpe:2.3:o:canonical:ubuntu_linux:18.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:14.04::::esm:::

Related information, measures and tools

No	URL	タグ
1	http://www.securityfocus.com/bid/94347	Third Party Advisory VDB Entry
2	http://www.securityfocus.com/bid/94347	Third Party Advisory VDB Entry
3	https://bugzilla.gnome.org/show_bug.cgi?id=772726	Issue Tracking Patch Third Party Advisory VDB Entry
4	https://bugzilla.gnome.org/show_bug.cgi?id=772726	Issue Tracking Patch Third Party Advisory VDB Entry
5	https://github.com/lsh123/xmlsec/issues/43	Exploit Patch Third Party Advisory
6	https://github.com/lsh123/xmlsec/issues/43	Exploit Patch Third Party Advisory
7	https://lists.debian.org/debian-lts-announce/2022/04/msg00004.html
8	https://lists.debian.org/debian-lts-announce/2022/04/msg00004.html
9	https://security.gentoo.org/glsa/201711-01	Third Party Advisory
10	https://security.gentoo.org/glsa/201711-01	Third Party Advisory
11	https://usn.ubuntu.com/3739-1/	Third Party Advisory
12	https://usn.ubuntu.com/3739-1/	Third Party Advisory
13	https://usn.ubuntu.com/3739-2/	Third Party Advisory
14	https://usn.ubuntu.com/3739-2/	Third Party Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-611	XML 外部エンティティ参照の不適切な制限	https://cwe.mitre.org/data/definitions/611.html

JVN Vulnerability Information

XMLSec などの製品で使用される libxml2 における XML 外部エンティティの脆弱性

Title	XMLSec などの製品で使用される libxml2 における XML 外部エンティティの脆弱性
Summary	XMLSec およびその他の製品で使用される libxml2 は、現在のドキュメントが読み込まれる可能性があるが、他のファイルが開かれていない可能性を示すフラグを直接的に提供しないため、XML 外部エンティティ (XXE) の脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-611: Improper Restriction of XML External Entity Reference ('XXE') (XML 外部エンティティ参照の不適切な制限) と識別されています。 https://cwe.mitre.org/data/definitions/611.html
Possible impacts	第三者により、巧妙に細工されたドキュメントを介して、XML 外部エンティティ (XXE) 攻撃を実行される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Oct. 11, 2016, midnight
Registration Date	Nov. 17, 2016, 1:46 p.m.
Last Update	Nov. 17, 2016, 1:46 p.m.

Affected System

xmlsoft.org

libxml2 2.9.4 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-9318	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9318
National Vulnerability Database (NVD)
2	CVE-2016-9318	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9318

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Bugzilla
1	Bug 772726	https://bugzilla.gnome.org/show_bug.cgi?id=772726
GitHub
2	xmlsec vulnerable to XXE #43	https://github.com/lsh123/xmlsec/issues/43
xmlsoft.org
3	Libxml2	http://www.xmlsoft.org/

Change Log

No	Changed Details	Date of change
0	[2016年11月17日] 掲載	Feb. 17, 2018, 10:37 a.m.