CVE-2015-0254

描述

Apache Standard Taglibs before 1.2.3 allows remote attackers to execute arbitrary code or conduct external XML entity (XXE) attacks via a crafted XSLT extension in a (1) <x:parse> or (2) <x:transform> JSTL XML tag.

如何修補 CVE-2015-0254

要修補 CVE-2015-0254,請將受影響套件升級到下列已修補版本。

• Maven/org.apache.taglibs:taglibs-standard—升級至 1.2.3 或更新版本
• Maven/org.apache.taglibs:taglibs-standard-impl—升級至 1.2.3 或更新版本

CVE-2015-0254 正在被利用嗎?

低 — EPSS 為 3.8%,目前沒有觀察到大規模利用活動。

受影響套件(2)

• from 0, < 1.2.3
• from 0, < 1.2.3

參考連結(23)

• ADVISORYnvd.nist.gov/vuln/detail/CVE-2015-0254
• WEBlists.opensuse.org/opensuse-updates/2015-10/msg00033.html
• WEBmail-archives.apache.org/mod_mbox/tomcat-taglibs-user/201502.mbox/%3C82207A16-6348-4DEE-877E-F7B87292576A%40apache.org%3E
• WEBpacketstormsecurity.com