CVE-2014-3004

描述

The default configuration for the Xerces SAX Parser in Castor before 1.3.3 allows context-dependent attackers to conduct XML External Entity (XXE) attacks via a crafted XML document.

如何修補 CVE-2014-3004

要修補 CVE-2014-3004,請將受影響套件升級到下列已修補版本。

• Maven/castor:castor—未列出修補版本
• Maven/org.codehaus.castor:castor—升級至 1.3.3 或更新版本

CVE-2014-3004 正在被利用嗎?

低 — EPSS 為 3.6%,目前沒有觀察到大規模利用活動。

受影響套件(2)

• from 0, <= 1.0
• from 0, < 1.3.3

參考連結(8)

• ADVISORYnvd.nist.gov/vuln/detail/CVE-2014-3004
• PATCHgithub.com/castor-data-binding/castor
• WEBlists.opensuse.org/opensuse-updates/2014-06/msg00043.html
• WEBpacketstormsecurity.com/files/126854/Castor-Library-XXE-Disclosure.html