漏洞标题
N/A
漏洞描述信息
在 CakePHP 2.1.x 版本在 2.1.5 之前和 2.2.x 版本在 2.2.1 之前,Xml 类允许远程攻击者通过包含外部实体引用的 XML 数据读取任意文件,这被称为 XML 外部实体(XXE)注入攻击。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The Xml class in CakePHP 2.1.x before 2.1.5 and 2.2.x before 2.2.1 allows remote attackers to read arbitrary files via XML data containing external entity references, aka an XML external entity (XXE) injection attack.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
CakePHP 权限许可和访问控制漏洞
漏洞描述信息
CakePHP是美国Cake软件基金会的一个基于MVC架构的、开源的Web开发框架。该框架具有灵活的视图缓存、自动生成CRUD代码等功能。 CakePHP 2.1.5之前的2.1.x版本和2.2.1之前的2.2.x版本中的XML类中存在漏洞。攻击者可利用该漏洞从运行受影响应用程序的计算机上的本地文件中获取敏感信息,进而执行其他攻击。
CVSS信息
N/A
漏洞类别
授权问题