漏洞信息(CVE-2012-3488)

一、漏洞 CVE-2012-3488 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

PostgreSQL 8.3 之前的 contrib/xml2 版本在 8.3.20 之前、8.4.13 之前、9.0 之前、9.1 之前版本中，libxslt 支持未正确限制对文件和网址的访问，这允许远程授权用户修改数据、获取敏感信息或触发 outbound 流量到任意外部主机，通过(1)使用 libxslt 安全选项允许的stylesheet命令或(2)与 XML 外部实体 (aka XXE) 问题相关的 xslt_process 功能。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The libxslt support in contrib/xml2 in PostgreSQL 8.3 before 8.3.20, 8.4 before 8.4.13, 9.0 before 9.0.9, and 9.1 before 9.1.5 does not properly restrict access to files and URLs, which allows remote authenticated users to modify data, obtain sensitive information, or trigger outbound traffic to arbitrary external hosts by leveraging (1) stylesheet commands that are permitted by the libxslt security options or (2) an xslt_process feature, related to an XML External Entity (aka XXE) issue.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

PostgreSQL ‘xml_parse()’任意文件读取漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

PostgreSQL是PostgreSQL开发组所研发的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性，例如外键、触发器、视图等。 PostgreSQL中的xml_parse()中存在漏洞，可被恶意攻击者利用泄露某些敏感信息。该漏洞源于解析带有XML文档的DTD数据时‘xml_parse()’函数中存在错误。攻击者可利用该漏洞读取任意文件。早期版本至9.1.5、9.0.9、8.4.13、8.3.20版本中存在漏洞。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

授权问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2012-3488 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2012-3488 的情报信息

http://www.postgresql.org/docs/9.0/static/release-9-0-9.html x_refsource_CONFIRM
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705 x_refsource_CONFIRM
https://bugzilla.redhat.com/show_bug.cgi?id=849172 x_refsource_CONFIRM
http://www.postgresql.org/docs/9.1/static/release-9-1-5.html x_refsource_CONFIRM
https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_postgresql2 x_refsource_CONFIRM
http://www.postgresql.org/docs/8.4/static/release-8-4-13.html x_refsource_CONFIRM
http://www.postgresql.org/docs/8.3/static/release-8-3-20.html x_refsource_CONFIRM
http://www.postgresql.org/about/news/1407/ x_refsource_CONFIRM
http://www.postgresql.org/support/security/ x_refsource_CONFIRM
http://secunia.com/advisories/50635 third-party-advisory x_refsource_SECUNIA
http://secunia.com/advisories/50859 third-party-advisory x_refsource_SECUNIA
http://www.securityfocus.com/bid/55072 vdb-entry x_refsource_BID
http://secunia.com/advisories/50946 third-party-advisory x_refsource_SECUNIA
http://secunia.com/advisories/50718 third-party-advisory x_refsource_SECUNIA
http://secunia.com/advisories/50636 third-party-advisory x_refsource_SECUNIA
http://www.debian.org/security/2012/dsa-2534 vendor-advisory x_refsource_DEBIAN
http://www.ubuntu.com/usn/USN-1542-1 vendor-advisory x_refsource_UBUNTU
http://rhn.redhat.com/errata/RHSA-2012-1263.html vendor-advisory x_refsource_REDHAT
http://rhn.redhat.com/errata/RHSA-2012-1264.html vendor-advisory x_refsource_REDHAT
http://www.mandriva.com/security/advisories?name=MDVSA-2012:139 vendor-advisory x_refsource_MANDRIVA
http://lists.apple.com/archives/security-announce/2013/Mar/msg00002.html vendor-advisory x_refsource_APPLE
http://lists.opensuse.org/opensuse-updates/2012-09/msg00102.html vendor-advisory x_refsource_SUSE
http://lists.opensuse.org/opensuse-updates/2012-10/msg00013.html vendor-advisory x_refsource_SUSE
http://lists.opensuse.org/opensuse-updates/2012-10/msg00024.html vendor-advisory x_refsource_SUSE
https://nvd.nist.gov/vuln/detail/CVE-2012-3488

一、 漏洞 CVE-2012-3488 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2012-3488 的公开POC

三、漏洞 CVE-2012-3488 的情报信息

一、漏洞 CVE-2012-3488 基础信息