漏洞标题
N/A
漏洞描述信息
PrinceXML 10 及其以下版本由于对外部实体缺乏保护,容易受到 XXE 攻击。如果攻击者通过 HTML 引用 XML 文件(例如,在 IFRAME 元素中), PrinceXML 将获取 XML 并解析它,从而允许攻击者读取文件并实现完整的 SSRF。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
PrinceXML, versions 10 and below, is vulnerable to XXE due to the lack of protection against external entities. If an attacker passes HTML referencing an XML file (e.g., in an IFRAME element), PrinceXML will fetch the XML and parse it, thus giving an attacker file-read access and full-fledged SSRF.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
YesLogic Pty PrinceXML 跨站脚本漏洞
漏洞描述信息
YesLogic Pty PrinceXML是澳大利亚YesLogic Pty公司的一款用于将HTML文档转换为PDF文档的应用程序。 YesLogic Pty PrinceXML 10及之前版本中存在跨站脚本漏洞,该漏洞源于程序缺少对外部实体的防护措施。远程攻击者可利用该漏洞获取文件读取权限,实施服务器端请求伪造攻击或造成拒绝服务。
CVSS信息
N/A
漏洞类别
跨站脚本