Vulnerabilidad en El soporte libxslt en contribxml2 en PostgreSQL (CVE-2012-3488)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
03/10/2012
Última modificación:
11/04/2025
Descripción
El soporte libxslt en contrib/xml2 en PostgreSQL v8.3 anteriores a v8.3.20, v8.4 anteriores a v8.4.13, v9.0 anteriores a v9.0.9, y v9.1 anteriores a v9.1.5 no restringe el acceso de forma adecuada a ficheros y URLs, lo que permite a atacantes remotos modificar datos y obtener información sensible, o provocar tráfico fuera de los límites a host externos mediante el aprovechamiento de (1)comandos de hoja de estilo que son permitirás por la opción de seguridad de libxslt o (2) la funcionalidad xslt_process, relacionada con la funcionalidad XML External Entity (también conocida como XXE).
Impacto
Puntuación base 2.0
4.90
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:postgresql:postgresql:9.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:9.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:9.1.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:9.1.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:9.1.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.4.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.4.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.4.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.4.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.4.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.4.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.4.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.4.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.4.9:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
- http://lists.apple.com/archives/security-announce/2013/Mar/msg00002.html
- http://lists.opensuse.org/opensuse-updates/2012-09/msg00102.html
- http://lists.opensuse.org/opensuse-updates/2012-10/msg00013.html
- http://lists.opensuse.org/opensuse-updates/2012-10/msg00024.html
- http://rhn.redhat.com/errata/RHSA-2012-1263.html
- http://rhn.redhat.com/errata/RHSA-2012-1264.html
- http://secunia.com/advisories/50635
- http://secunia.com/advisories/50636
- http://secunia.com/advisories/50718
- http://secunia.com/advisories/50859
- http://secunia.com/advisories/50946
- http://www.debian.org/security/2012/dsa-2534
- http://www.mandriva.com/security/advisories?name=MDVSA-2012%3A139
- http://www.postgresql.org/about/news/1407/
- http://www.postgresql.org/docs/8.3/static/release-8-3-20.html
- http://www.postgresql.org/docs/8.4/static/release-8-4-13.html
- http://www.postgresql.org/docs/9.0/static/release-9-0-9.html
- http://www.postgresql.org/docs/9.1/static/release-9-1-5.html
- http://www.postgresql.org/support/security/
- http://www.securityfocus.com/bid/55072
- http://www.ubuntu.com/usn/USN-1542-1
- https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_postgresql2
- https://bugzilla.redhat.com/show_bug.cgi?id=849172
- http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
- http://lists.apple.com/archives/security-announce/2013/Mar/msg00002.html
- http://lists.opensuse.org/opensuse-updates/2012-09/msg00102.html
- http://lists.opensuse.org/opensuse-updates/2012-10/msg00013.html
- http://lists.opensuse.org/opensuse-updates/2012-10/msg00024.html
- http://rhn.redhat.com/errata/RHSA-2012-1263.html
- http://rhn.redhat.com/errata/RHSA-2012-1264.html
- http://secunia.com/advisories/50635
- http://secunia.com/advisories/50636
- http://secunia.com/advisories/50718
- http://secunia.com/advisories/50859
- http://secunia.com/advisories/50946
- http://www.debian.org/security/2012/dsa-2534
- http://www.mandriva.com/security/advisories?name=MDVSA-2012%3A139
- http://www.postgresql.org/about/news/1407/
- http://www.postgresql.org/docs/8.3/static/release-8-3-20.html
- http://www.postgresql.org/docs/8.4/static/release-8-4-13.html
- http://www.postgresql.org/docs/9.0/static/release-9-0-9.html
- http://www.postgresql.org/docs/9.1/static/release-9-1-5.html
- http://www.postgresql.org/support/security/
- http://www.securityfocus.com/bid/55072
- http://www.ubuntu.com/usn/USN-1542-1
- https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_postgresql2
- https://bugzilla.redhat.com/show_bug.cgi?id=849172