Vulnerabilidad en Spring Data Commons con XMLBeam (CVE-2018-1259)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
11/05/2018
Última modificación:
25/07/2022
Descripción
Spring Data Commons, en versiones 1.13 anteriores a la 1.13.12 y versiones 2.0 anteriores a la 2.0.7, empleado junto con XMLBeam, en versiones 1.4.14 o anteriores, contiene una vulnerabilidad de enlazador de propiedades provocada por la restricción incorrecta de referencias de entidades externas XML, ya que la biblioteca subyacente XMLBeam no restringe la expansión de referencias externas. Un usuario remoto malicioso no autenticado puede proporcionar parámetros de petición especialmente manipulados al enlace de la carga útil de petición basada en proyección de Spring Data para acceder a archivos arbitrarios en el sistema.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pivotal_software:spring_data_commons:*:*:*:*:*:*:*:* | 1.13 (incluyendo) | 1.13.11 (incluyendo) |
| cpe:2.3:a:pivotal_software:spring_data_commons:*:*:*:*:*:*:*:* | 2.0 (incluyendo) | 2.0.6 (incluyendo) |
| cpe:2.3:a:pivotal_software:spring_data_rest:*:*:*:*:*:*:*:* | 2.6 (excluyendo) | 2.6.11 (incluyendo) |
| cpe:2.3:a:pivotal_software:spring_data_rest:*:*:*:*:*:*:*:* | 3.0 (incluyendo) | 3.0.6 (incluyendo) |
| cpe:2.3:a:xmlbeam:xmlbeam:*:*:*:*:*:*:*:* | 1.4.14 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página