| タイトル | EpubCheck に XML 外部実体参照 (XXE) に関する脆弱性 |
|---|---|
| 概要 | EpubCheck には、XML 外部実体参照 (XXE) に関する脆弱性が存在します。 XML 外部実体参照 (XXE) (CWE-611) - CVE-2016-9487 EpubCheck は、EPUB ファイルが適切な形式になっているか検証するためのツールです。単体でコマンドラインツールとして使用されたり、EPUB リーダなどのソフトウェアプロジェクトのなかで使用されたりします。 EpubCheck 4.0.1 には、EPUB ファイル検証処理において XML データを解析する際、外部実体参照を適切に制限していない問題が存在します。 CWE-611: Improper Restriction of XML External Entity Reference ('XXE') https://cwe.mitre.org/data/definitions/611.html |
| 想定される影響 | 細工された EPUB ファイルを処理することで、遠隔の第三者によって、システム上の任意のファイルにアクセスされたり、システムから任意のリクエストを送信されたりする可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正したバージョン 4.0.2 をリリースしています。 |
| 公表日 | 2016年12月13日0:00 |
| 登録日 | 2016年12月15日16:42 |
| 最終更新日 | 2016年12月15日16:42 |
| CVSS3.0 : 警告 | |
| スコア | 6.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
| CVSS2.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| International Digital Publishing Forum |
| EpubCheck 4.0.1 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2016年12月15日] 掲載 |
2018年2月17日10:37 |
| 1 | [2019年07月11日] 参考情報:National Vulnerability Database (NVD) (CVE-2016-9487) を追加 |
2019年7月11日17:28 |
| 概要 | EpubCheck 4.0.1 does not properly restrict resolving external entities when parsing XML in EPUB files during validation. An attacker who supplies a specially crafted EPUB file may be able to exploit this behavior to read arbitrary files, or have the victim execute arbitrary requests on his behalf, abusing the victim's trust relationship with other entities. |
|---|---|
| 公表日 | 2018年7月14日5:29 |
| 登録日 | 2021年1月26日14:20 |
| 最終更新日 | 2024年11月21日12:01 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:w3:epubcheck:4.0.1:*:*:*:*:*:*:* | |||||