Apache CXF XML dokumentum típus deklaráló feldolgozási sérülékenység


2010. augusztus 17. 09:42

CH azonosító

CH-3492

Felfedezés dátuma

2010.08.16.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation

Érintett verziók

Apache CXF 2.x

Összefoglaló

Az Apache CXF olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak rendszer információk vagy bizalmas információk felfedésére és szolgáltatás megtagadás (DoS – Denial of Service) előidézésére.

Leírás

A sérülékenységet a CXF XML dokumentum típus deklarációk (DTD) nem megfelelő korlátozása okozza. Ez kihasználható helyi és külső fájlok megállapítására vagy tartalmainak felderítésére, amennyiben azok DTD hivatkozást tartalmaznak, vagy szolgáltatás megtagadás (DoS -Denial of Service) előidézésre, egy processzor- vagy memória erőforrás fogyasztással járó erősen beágyazott DTD küldésével.

A sérülékenységet a 2.0.13-ast, 2.1.10-est és 2.2.9-est megelőző verziókban jelentették.

Megoldás

Frissítsen a 2.0.13-as, 3.1.10-es vagy 2.2.9-es verzióra.

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: svn.apache.org
Egyéb referencia: www.listware.net
SECUNIA 40969
CVE-2010-2076 - NVD CVE-2010-2076

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-58034 – Fortinet FortiWeb OS Command Injection sérülékenysége
CVE-2025-13224 – Google Chrome sérülékenysége
CVE-2025-13223 – Google Chromium V8 Type Confusion sérülékenysége
CVE-2025-24893 – XWiki Platform Eval Injection sérülékenysége
CVE-2025-25256 – Fortinet FortiSIEM sebezhetősége
CVE-2022-40684 – Fortinet Multiple Products Authentication Bypass sebezhetősége
CVE-2025-59367 – ASUS DSL Router sérülékenysége
CVE-2025-64446 – Fortinet FortiWeb Path Traversal sérülékenysége
Tovább a sérülékenységekhez »