CVE-2014-3242

描述

SOAPpy 0.12.5 allows remote attackers to read arbitrary files via a SOAP request containing an external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue.

如何修補 CVE-2014-3242

目前尚未發布修補版本。可考慮移除受影響套件,或參考下方連結中的上游建議。

• PyPI/soappy—未列出修補版本

CVE-2014-3242 正在被利用嗎?

低 — EPSS 為 0.6%,目前沒有觀察到大規模利用活動。

受影響套件(1)

• from 0, <= 0.12.5

參考連結(7)

• ADVISORYnvd.nist.gov/vuln/detail/CVE-2014-3242
• PATCHgithub.com/kiorky/soappy
• WEBseclists.org/fulldisclosure/2014/May/20
• WEBweb.archive.org/web/20150501220613/http://www.pnigos.com/?p=260
• WEB