漏洞标题
N/A
漏洞描述信息
在Apache CXF Fediz版本1.4.4之前,它并未完全关闭文档类型声明(DTD)。当应用程序插件解析身份验证 provider 响应时,或者在解析某些基于XML的参数时,身份验证 provider 本身未完全关闭文档类型声明。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Versions of Apache CXF Fediz prior to 1.4.4 do not fully disable Document Type Declarations (DTDs) when either parsing the Identity Provider response in the application plugins, or in the Identity Provider itself when parsing certain XML-based parameters.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache CXF Fediz 安全漏洞
漏洞描述信息
Apache CXF是美国阿帕奇(Apache)软件基金会的一个开源的Web服务框架。该框架支持多种Web服务标准、多种前端编程API等。Apache CXF Fediz是其中的一个子项目,主要用于提供身份验证。 Apache CXF Fediz 1.4.4之前版本中存在安全漏洞,该漏洞源于程序没有完全的禁用Document Type Declarations (DTDs)。远程攻击者可借助Fediz插件提交特制的XML DTD数据利用该漏洞造成拒绝服务。
CVSS信息
N/A
漏洞类别
输入验证错误