Orbeon Forms XForms服务xforms-server组件信息泄露漏洞

漏洞信息详情

Orbeon Forms XForms服务xforms-server组件信息泄露漏洞

• CNNVD编号：CNNVD-201104-293
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2010-3260
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2011-04-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-04-27
  
• 厂        商：
  
  orbeon
• 漏洞来源：

Orbeon Forms 3.9之前版本的XForms服务的xforms-server组件中的oxf/xml/xerces/XercesSAXParserFactoryImpl.java不能正确限制Ajax请求中的DTDs。远程攻击者可以借助与实体引用相结合的实体声明，读取任意文件或者向局域网服务器发送HTTP请求。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://wiki.orbeon.com/forms/doc/developer-guide/release-notes/39

来源: github.com

链接:https://github.com/orbeon/orbeon-forms/commit/aba6681660f65af7f1676434da68c10298c30200

来源: www.stratsec.net

链接:http://www.stratsec.net/Research/Advisories/Orbeon-Forms-XML-Entity-Dereferencing-%28SS-2011-004

来源: BID

名称: 47362

链接:http://www.securityfocus.com/bid/47362

来源: wiki.orbeon.com

链接:http://wiki.orbeon.com/forms/doc/developer-guide/release-notes/39

来源:SECUNIA

名称:44139

链接:http://secunia.com/advisories/44139