CVE-2010-3260

Exploit

EPSS 2.18%
Veröffentlicht 27.04.2011 00:55:02
Zuletzt bearbeitet 16.06.2026 23:22:28
Quelle cve@mitre.org
CVE-Watchlists
Login
Unerledigt
Login

oxf/xml/xerces/XercesSAXParserFactoryImpl.java in the xforms-server component in the XForms service in Orbeon Forms before 3.9 does not properly restrict DTDs in Ajax requests, which allows remote attackers to read arbitrary files or send HTTP requests to intranet servers via an entity declaration in conjunction with an entity reference, related to an "XML injection" issue.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 0 Referenzen 7

NVD 14 VulnDex Vulnerability Enrichment 0

Daten sind bereitgestellt durch National Vulnerability Database (NVD)

Orbeon ≫ Forms Version <= 3.8.1

Orbeon ≫ Forms Version1.5

Orbeon ≫ Forms Version2.0

Orbeon ≫ Forms Version2.1

Orbeon ≫ Forms Version2.2

Orbeon ≫ Forms Version2.5

Orbeon ≫ Forms Version2.6

Orbeon ≫ Forms Version2.7

Orbeon ≫ Forms Version2.8

Orbeon ≫ Forms Version3.0

Orbeon ≫ Forms Version3.5

Orbeon ≫ Forms Version3.6

Orbeon ≫ Forms Version3.7.1

Orbeon ≫ Forms Version3.8

Zu dieser CVE wurde keine Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	2.18%	0.8

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
nvd@nist.gov	6.4	10	4.9	AV:N/AC:L/Au:N/C:P/I:P/A:N

Es wurden noch keine Informationen zu CWE veröffentlicht.

http://wiki.orbeon.com/forms/doc/developer-guide/release-notes/39

Patch

http://www.securityfocus.com/bid/47362

http://www.stratsec.net/Research/Advisories/Orbeon-Forms-XML-Entity-Dereferencing-%28SS-2011-004

Exploit

https://github.com/orbeon/orbeon-forms/commit/aba6681660f65af7f1676434da68c10298c30200

Patch

https://nvd.nist.gov/vuln/detail/CVE-2010-3260

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2010-3260

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2010-3260

EUVD

Team-orientierte Vulnerability Management Plattform

Features der Plattform

CVE-2010-3260