| タイトル | Direct Web Remoting (DWR) における XML 外部実体参照 (XXE) に関する脆弱性 |
|---|---|
| 概要 | Direct Web Remoting (DWR) は、Ajax アプリケーションを Java で開発するためのフレームワークです。DWR には、XML 外部実体参照 (XXE) に関する脆弱性 (CWE-611) が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 寺田 健 氏 |
| 想定される影響 | アプリケーションが DOM データを変換する機能 (DOMConverter, JDOMConverter, DOM4JConverter, XOMConverter) を使用している場合、細工されたリクエストを処理した際に、サーバ上の任意のファイルを読みとられる可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに DWR を最新版へアップデートし、DWR を利用して開発したアプリケーションの JAR ファイルを置き換えてください。 |
| 公表日 | 2014年11月14日0:00 |
| 登録日 | 2014年11月14日12:03 |
| 最終更新日 | 2014年11月25日17:47 |
| CVSS2.0 : 警告 | |
| スコア | 5.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:N/A:P |
| Direct Web Remoting |
| DWR Version 2.0.10 およびそれ以前 |
| DWR Version 3.0.RC2 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2014年11月14日] 掲載 [2014年11月25日] 参考情報:National Vulnerability Database (NVD) (CVE-2014-5325) を追加 |
2018年2月17日10:37 |
| 概要 | The (1) DOMConverter, (2) JDOMConverter, (3) DOM4JConverter, and (4) XOMConverter functions in Direct Web Remoting (DWR) through 2.0.10 and 3.x through 3.0.RC2 allow remote attackers to read arbitrary files via DOM data containing an XML external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue. |
|---|---|
| 公表日 | 2014年11月24日11:59 |
| 登録日 | 2021年1月26日15:14 |
| 最終更新日 | 2024年11月21日11:11 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:directwebremoting:direct_web_remoting:3.0:rc1:*:*:*:*:*:* | |||||
| cpe:2.3:a:directwebremoting:direct_web_remoting:*:*:*:*:*:*:*:* | 2.0.10 | ||||
| cpe:2.3:a:directwebremoting:direct_web_remoting:3.0:rc2:*:*:*:*:*:* | |||||