Castor 代码问题漏洞

漏洞信息详情

Castor 代码问题漏洞

• CNNVD编号：CNNVD-201406-268
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-3004
  
• 漏洞类型：
  
  
  代码问题
  
• 发布时间：
  
  2014-06-13
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2021-07-07
  
• 厂        商：
  
  opensuse_project
• 漏洞来源：

Castor是一套开源的Java数据绑定工具。该工具可以在Java对象、XML文本、SQL数据表以及LDAP目录之间绑定。

Castor 1.3.2及之前版本的Xerces SAX Parser默认配置中存在代码问题漏洞。攻击者可借助特制的XML文档利用该漏洞实施XML外部实体攻击。

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

http://www.castor.org/

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/126854/Castor-Library-XXE-Disclosure.html

来源:BID

名称:67676

链接:http://www.securityfocus.com/bid/67676

来源:FULLDISC

名称:20140527 CVE-2014-3004 – Castor Library Default Config could lead to XML External Entity (XXE) Attacks

链接:http://seclists.org/fulldisclosure/2014/May/142

来源:www.oracle.com

链接:https://www.oracle.com/security-alerts/cpujan2020.html

来源:www.ibm.com

链接:https://www.ibm.com/blogs/psirt/security-bulletin-castor-vulnerability-affects-ibm-control-center-cve-2014-3004/

来源:www.oracle.com

链接:https://www.oracle.com/security-alerts/cpujan2020verbose.html