JVNDB-2016-001904
|
Granite Data Services に XML 外部実体参照 (XXE) に関する脆弱性
|
|
Granite Data Services には、XML 外部実体参照 (XXE) に関する脆弱性が存在し、ホスト内の機微な情報が漏えいする可能性があります。
XML 外部実体参照 (XXE) (CWE-611) - CVE-2016-2340
Granite Data Services は、デスクトップおよびモバイルアプリケーションが Action Message Format (AMF3) や Java Media Framework (JMF) シリアライゼーションプロトコルを使用してサーバと通信するためのライブラリを提供しています。
CWE-611: Improper Restriction of XML External Entity Reference ('XXE')
http://cwe.mitre.org/data/definitions/611.html
Granite Data Services には、XML 外部実体参照 (XXE) に関する脆弱性が存在し、サーバ上のデータが漏えいしたり、サービス運用妨害 (DoS) が起こったり、サーバサイドリクエストフォージェリ (SSRF) が行われたりする可能性があります。
|
|
CVSS v2 による深刻度
基本値: 5.5 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): 部分的
|
|
|
Granite Data Services
- Granite Data Services 3.1.1-SNAPSHOT
|
|
|
攻撃者によって、サーバ内の機微な情報を取得されたり、サービス運用妨害 (DoS) を引き起こされたりする可能性があります。
|
|
2016年3月25日現在、有効な対策方法は不明です。
|
|
Granite Data Services
|
|
- その他(CWE-Other) [NVD評価]
|
|
- CVE-2016-2340
|
|
- JVN : JVNVU#95707407
- National Vulnerability Database (NVD) : CVE-2016-2340
- US-CERT Vulnerability Note : VU#279472
- 関連文書 : XML External Entity (XXE) Processing
|
|
- [2016年03月28日]
掲載
[2016年03月29日]
CVSS による深刻度:内容を更新
|
