漏洞标题
XML外部实体(XXE)注入
漏洞描述信息
包com.h2database:h2在版本1.4.198到2.0.202之间,当org.h2.jdbc.JdbcSQLXML类对象接收来自org.h2.jdbc.JdbcResultSet.getSQLXML()方法解析的字符串数据时,存在XML外部实体(XXE)注入漏洞。如果在参数为DOMSource.class时执行getSource()方法,将触发该漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
漏洞类别
N/A
漏洞标题
XML External Entity (XXE) Injection
漏洞描述信息
The package com.h2database:h2 from 1.4.198 and before 2.0.202 are vulnerable to XML External Entity (XXE) Injection via the org.h2.jdbc.JdbcSQLXML class object, when it receives parsed string data from org.h2.jdbc.JdbcResultSet.getSQLXML() method. If it executes the getSource() method when the parameter is DOMSource.class it will trigger the vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
漏洞类别
N/A
漏洞标题
Markdown To Pdf 代码问题漏洞
漏洞描述信息
Markdown To Pdf是德国Simon Hanisch个人开发者的一个简单且可破解的 Cli 工具。用于将 Markdown 转换为 pdf。 Markdown To Pdf 中存在代码问题漏洞,该漏洞源于该服务使用org.h2.jdbc.JdbcResultSet.getSQLXML方法获得解析字符串时如果getSource方法的参数为DOMSource.class会引起恶意注入。以下产品及版本受到影响:H2database 2.0.202 之前版本。
CVSS信息
N/A
漏洞类别
代码问题