Vulnerabilidad en libxml2 (CVE-2013-0339)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
21/01/2014
Última modificación:
07/11/2023
Descripción
libxml2 hasta 2.9.1 no controla correctamente la expansión de entidades externas a menos que un desarrollador de aplicaciones utilice la función xmlSAX2ResolveEntity o xmlSetExternalEntityLoader, lo que permite a atacantes remotos provocar una denegación de servicio (consumo de recursos), enviar peticiones HTTP a los servidores de la intranet, o leer ficheros arbitrarios mediante un documento XML manipulada, también conocido una entidades externas XML (XXE) tema. NOTA: se podría argumentar que debido a que libxml2 ya ofrece la posibilidad de desactivar la expansión entidad externa, la responsabilidad de la solución de este problema se encuentra con los desarrolladores de aplicaciones, de acuerdo con este argumento, esta entrada debe ser rechazada y cada aplicación afectada tendría su propio CVE.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:xmlsoft:libxml2:*:*:*:*:*:*:*:* | 2.9.1 (incluyendo) | |
cpe:2.3:a:xmlsoft:libxml2:1.7.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:xmlsoft:libxml2:1.7.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:xmlsoft:libxml2:1.7.2:*:*:*:*:*:*:* | ||
cpe:2.3:a:xmlsoft:libxml2:1.7.3:*:*:*:*:*:*:* | ||
cpe:2.3:a:xmlsoft:libxml2:1.7.4:*:*:*:*:*:*:* | ||
cpe:2.3:a:xmlsoft:libxml2:1.8.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:xmlsoft:libxml2:1.8.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:xmlsoft:libxml2:1.8.2:*:*:*:*:*:*:* | ||
cpe:2.3:a:xmlsoft:libxml2:1.8.3:*:*:*:*:*:*:* | ||
cpe:2.3:a:xmlsoft:libxml2:1.8.4:*:*:*:*:*:*:* | ||
cpe:2.3:a:xmlsoft:libxml2:1.8.5:*:*:*:*:*:*:* | ||
cpe:2.3:a:xmlsoft:libxml2:1.8.6:*:*:*:*:*:*:* | ||
cpe:2.3:a:xmlsoft:libxml2:1.8.7:*:*:*:*:*:*:* | ||
cpe:2.3:a:xmlsoft:libxml2:1.8.9:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2013-11/msg00002.html
- http://openwall.com/lists/oss-security/2013/02/21/24
- http://openwall.com/lists/oss-security/2013/02/22/3
- http://seclists.org/oss-sec/2013/q4/182
- http://seclists.org/oss-sec/2013/q4/184
- http://seclists.org/oss-sec/2013/q4/188
- http://secunia.com/advisories/52662
- http://secunia.com/advisories/54172
- http://secunia.com/advisories/55568
- http://www.debian.org/security/2013/dsa-2652
- http://www.openwall.com/lists/oss-security/2013/04/12/6
- http://www.ubuntu.com/usn/USN-1904-1
- http://www.ubuntu.com/usn/USN-1904-2
- https://bugzilla.redhat.com/show_bug.cgi?id=915149
- https://git.gnome.org/browse/libxml2/commit/?id=4629ee02ac649c27f9c0cf98ba017c6b5526070f