컴포넌트 명 : fop
버전 정보 | 취약점 ID | 취약점 최종 보고일 | 심각도 |
---|---|---|---|
1.1 | CVE-2017-5661 | 2017/11/04 | 7.9 (High) |
취약점 ID : CVE-2017-5661
취약점 설명 | In Apache FOP before 2.2, files lying on the filesystem of the server which uses FOP can be revealed to arbitrary users who send maliciously formed SVG files. The file types that can be shown depend on the user context in which the exploitable application is running. If the user is root a full compromise of the server - including confidential or sensitive files - would be possible. XXE can also be used to attack the availability of the server via denial of service as the references within a xml document can trivially trigger an amplification attack. 2.2 버전 이전의 Apache FOP에서는, FOP를 사용하는 서버의 파일 시스템에 있는 파일이 악의적으로 형성된 SVG 파일을 보내는 임의의 사용자에게 노출 될 수 있습니다. 노출될 수 있는 파일 유형은 악용 가능한 애플리케이션이 실행 중인 사용자 컨텍스트에 따라 다릅니다. 루트 사용자인 경우 기밀 또는 민감한 파일을 포함하여 서버가 완전히 손상 될 수 있습니다. XXE는 또한 xml 문서 내의 참조가 증폭 공격을 유발할 수 있기 때문에 서비스 거부를 통해 서버의 가용성을 공격하는 데 사용될 수 있습니다. |
---|---|
대응 방안 | 2.2 이상 버전으로 업데이트 |
기타 | - |
번호 | 컴포넌트 명 및 버전 | 취약점ID | 심각도 |
취약점 최종 보고일 |
대응방안 |
---|---|---|---|---|---|
107 | fop 1.1 | CVE-2017-5661 | 7.9 (High) | 2017/11/04 | |
106 | Elasticsearch 0.17.8 | CVE-2015-1427 | 7.5 (High) | 2018/10/10 | |
105 | Bouncy Castle 1.54 | CVE-2018-1000613 | 7.5 (High) | 2019/04/24 | |
104 | Spring Batch Test 2.1.8.RELEASE | CVE-2019-3774 | 7.5 (High) | 2019/10/10 | |
103 | Infrastructure 2.1.8.RELEASE | CVE-2019-3774 | 7.5 (High) | 2019/10/10 | |
102 | Apache Struts 1.0.2 | CVE-2006-1547 | 7.8 (High) | 2017/07/20 | |
101 | Spring Data Commons 1.8.4.RELEASE | CVE-2018-1273 | 7.5 (High) | 2019/10/10 | |
100 | Spring Data Commons 1.6.1.RELEASE | CVE-2018-1273 | 7.5 (High) | 2019/10/10 | |
99 | libplexus-utils 2.0.5 | CVE-2017-1000487 | 7.5 (High) | 2019/10/03 | |
98 | Bouncy Castle 1.46 | CVE-2018-1000613 | 7.5 (High) | 2019/04/24 |
0개 댓글