Incutio XML-RPC Library资源管理错误漏洞

漏洞信息详情

Incutio XML-RPC Library资源管理错误漏洞

• CNNVD编号：CNNVD-201408-282
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-5265
  
• 漏洞类型：
  
  
  资源管理错误
  
• 发布时间：
  
  2014-08-20
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-08-20
  
• 厂        商：
  
  drupal
• 漏洞来源：

Incutio XML-RPC（IXR）是英国Incutio公司的一种使用HTTP协议传输XML格式文件来获取远程程序调用（Remote Procedure Call）的传输方式。

WordPress和Drupal中使用的IXR Library中存在安全漏洞，该漏洞源于程序实体扩展期间,实体声明没有考虑递归。远程攻击者可借助包含大量嵌入实体引用的XML文件利用该漏洞造成拒绝服务（内存和CPU消耗）。以下产品和版本受到影响：WordPress 3.9.2之前版本，Drupal 6.33之前6.x版本和7.31之前7.x版本。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://wordpress.org/news/2014/08/wordpress-3-9-2/

https://www.drupal.org/SA-CORE-2014-004

来源:cgit.drupalcode.org

链接:http://cgit.drupalcode.org/drupal/diff/includes/xmlrpc.inc?id=1849830

来源:wordpress.org

链接:https://wordpress.org/news/2014/08/wordpress-3-9-2/

来源:www.drupal.org

链接:https://www.drupal.org/SA-CORE-2014-004

来源:core.trac.wordpress.org

链接:https://core.trac.wordpress.org/changeset/29404