Java Standard Tag Library XML folyamat sérülékenysége

CH azonosító

CH-13553

Angol cím

Java Standard Tag Library XML Processing Vulnerability

Felfedezés dátuma

2016.09.08.

Súlyosság

Közepes

Érintett rendszerek

CentOS
Enterprise Linux
Enterprise Linux Desktop
Enterprise Linux WS
JBoss Enterprise Application Platform
Red Hat
Server

Érintett verziók

Apache Standard Taglibs 1.0 (Base) | 1.1 (Base) | 1.2 (Base, .1)
CentOS 6 (.0 i386, .0 x86_64, .1 i386, .1 x86_64, .2 i386, .2 x86_64) | 7 (x86_64)
JBoss Enterprise Application Platform 6 EL5 (IA-32, x86_64) | 6 EL6 (IA-32, x86_64, PPC) | 6.4.0 (Base) | 7.0.1 (Base)
JBoss Enterprise SOA Platform 5.3.1 (Base)
Red Hat Enterprise Linux 6 (IA-32, PPC, s390, x86_64) | 7 (Base)
Red Hat Enterprise Linux Desktop 6 (IA-32, x86_64) | 7 (x86_64)
Red Hat Enterprise Linux HPC Node 6 (x86_64) | 7 (x86_64)
Red Hat Enterprise Linux Server 6 (IA-32, PPC, PPC 64, s390, s390x, x86_64) | 7 (x86_64, ppc, ppc64, s390, s390x)
Red Hat Enterprise Linux Workstation 6 (IA-32, x86_64) | 7 (x86_64)

Összefoglaló

A Java Standard Tag Library (JSTL) közepes kockázati besorolású sérülékenysége vált ismertté, amellyel a – hitelesítéssel nem rendelkező – támadó tetszőleges kódot futtathat az érintett rendszeren. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A biztonsági rést a JSTL nem megfelelő, megbízhatatlan XML állományokat érintő feldolgozása okozza. A támadó a sérülékenységet egy speciálisan szerkesztett XML állomány útján használhatja ki, amellyel hozzáférhet a rendszer erőforrásaihoz, azon tetszőleges kódot futtathat.

Megoldás

Frissítsen a Apache Standard Taglibs 1.2.3-es vagy legújabb verziójára.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »