Vulnerabilidad en XmlMapper (CVE-2016-7051)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
14/04/2017
Última modificación:
20/04/2025
Descripción
XmlMapper en el componente Jackson XML dataformat (también conocido como jackson-dataformat-xml) anterior a versión 2.7.8 y versiones 2.8.x anteriores a 2.8.4, permite a los atacantes remotos conducir ataques de tipo server-side request forgery (SSRF) por medio de vectores relacionados con una extensión DTD.
Impacto
Puntuación base 3.x
8.60
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:fasterxml:jackson-dataformat-xml:*:*:*:*:*:*:*:* | 2.7.8 (excluyendo) | |
| cpe:2.3:a:fasterxml:jackson-dataformat-xml:2.8.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:fasterxml:jackson-dataformat-xml:2.8.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:fasterxml:jackson-dataformat-xml:2.8.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:fasterxml:jackson-dataformat-xml:2.8.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fasterxml:jackson-dataformat-xml:2.8.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fasterxml:jackson-dataformat-xml:2.8.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/97688
- https://bugzilla.redhat.com/show_bug.cgi?id=1378673
- https://github.com/FasterXML/jackson-dataformat-xml/issues/211
- http://www.securityfocus.com/bid/97688
- https://bugzilla.redhat.com/show_bug.cgi?id=1378673
- https://github.com/FasterXML/jackson-dataformat-xml/issues/211