| タイトル | Open-Xchange AppSuite の CalDAV インターフェースにおける XML 外部エンティティの脆弱性 |
|---|---|
| 概要 | Open-Xchange (OX) AppSuite の CalDAV インターフェース には、SAX ビルダおよび WebDAV インターフェースに関する処理に不備があるため、XML 外部エンティティ (XXE) の脆弱性が存在します。 この問題は、絶対パストラバーサルおよび XXE 両方としてラベル付けされていますが、XXE が絶対パストラバーサルおよびその他の攻撃を実行するために利用可能であるため、根本的な原因は XXE であるかもしれません。 補足情報 : CWE による脆弱性タイプは、CWE-611: Improper Restriction of XML External Entity Reference ('XXE') (XML 外部エンティティ参照の不適切な制限) と識別されています。 http://cwe.mitre.org/data/definitions/611.html |
| 想定される影響 | リモート認証されたユーザにより、任意のファイルの一部を読まれる可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2013年12月18日0:00 |
| 登録日 | 2014年1月28日18:19 |
| 最終更新日 | 2014年1月28日18:19 |
| CVSS2.0 : 警告 | |
| スコア | 4 |
|---|---|
| ベクター | AV:N/AC:L/Au:S/C:P/I:N/A:N |
| Open-Xchange |
| OX App Suite 7.4.1 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2014年01月28日] 掲載 |
2018年2月17日10:37 |
| 概要 | XML External Entity (XXE) vulnerability in the CalDAV interface in Open-Xchange (OX) AppSuite 7.4.1 and earlier allows remote authenticated users to read portions of arbitrary files via vectors related to the SAX builder and the WebDAV interface. NOTE: this issue has been labeled as both absolute path traversal and XXE, but the root cause may be XXE, since XXE can be exploited to conduct absolute path traversal and other attacks. |
|---|---|
| 公表日 | 2014年1月27日5:55 |
| 登録日 | 2021年1月26日15:49 |
| 最終更新日 | 2024年11月21日11:00 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:open-xchange:open-xchange_appsuite:6.22.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:open-xchange:open-xchange_appsuite:*:*:*:*:*:*:*:* | 7.4.1 | ||||
| cpe:2.3:a:open-xchange:open-xchange_appsuite:6.22.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:open-xchange:open-xchange_appsuite:7.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:open-xchange:open-xchange_appsuite:7.2.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:open-xchange:open-xchange_appsuite:7.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:open-xchange:open-xchange_appsuite:7.4.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:open-xchange:open-xchange_appsuite:7.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:open-xchange:open-xchange_appsuite:7.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:open-xchange:open-xchange_appsuite:6.20.7:*:*:*:*:*:*:* | |||||