6.4

CVE-2010-3260

Exploit

EPSS 0.33%
Veröffentlicht 27.04.2011 00:55:02
Zuletzt bearbeitet 11.04.2025 00:51:21
Quelle cve@mitre.org
CVE-Watchlists
Login
Unerledigt
Login

oxf/xml/xerces/XercesSAXParserFactoryImpl.java in the xforms-server component in the XForms service in Orbeon Forms before 3.9 does not properly restrict DTDs in Ajax requests, which allows remote attackers to read arbitrary files or send HTTP requests to intranet servers via an entity declaration in conjunction with an entity reference, related to an "XML injection" issue.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 0 Referenzen 7

Daten sind bereitgestellt durch National Vulnerability Database (NVD)

Orbeon ≫ Forms Version <= 3.8.1

Orbeon ≫ Forms Version1.5

Orbeon ≫ Forms Version2.0

Orbeon ≫ Forms Version2.1

Orbeon ≫ Forms Version2.2

Orbeon ≫ Forms Version2.5

Orbeon ≫ Forms Version2.6

Orbeon ≫ Forms Version2.7

Orbeon ≫ Forms Version2.8

Orbeon ≫ Forms Version3.0

Orbeon ≫ Forms Version3.5

Orbeon ≫ Forms Version3.6

Orbeon ≫ Forms Version3.7.1

Orbeon ≫ Forms Version3.8

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.33%	0.531

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
nvd@nist.gov	6.4	10	4.9	AV:N/AC:L/Au:N/C:P/I:P/A:N

Es wurden noch keine Informationen zu CWE veröffentlicht.

http://wiki.orbeon.com/forms/doc/developer-guide/release-notes/39

Patch

http://www.securityfocus.com/bid/47362

http://www.stratsec.net/Research/Advisories/Orbeon-Forms-XML-Entity-Dereferencing-%28SS-2011-004

Exploit

https://github.com/orbeon/orbeon-forms/commit/aba6681660f65af7f1676434da68c10298c30200

Patch

https://nvd.nist.gov/vuln/detail/CVE-2010-3260

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2010-3260

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2010-3260

EUVD