Куда я попал?
CVE-2025-23195
PUBLISHED
22.01.2025
CNA: apache
Apache Ambari: XML External Entity (XXE) Vulnerability in Ambari/Oozie
Обновлено:
21.01.2025
An XML External Entity (XXE) vulnerability exists in the Ambari/Oozie
project, allowing an attacker to inject malicious XML entities. This
vulnerability occurs due to insecure parsing of XML input using the
`DocumentBuilderFactory` class without disabling external entity
resolution. An attacker can exploit this vulnerability to read arbitrary
files on the server or perform server-side request forgery (SSRF)
attacks. The issue has been fixed in both Ambari 2.7.9 and the trunk
branch.
CWE
| Идентификатор | Описание |
|---|---|
| CWE-611 | Некорректное ограничение ссылок на внешние сущности XML |
Доп. Информация
Product Status
| Apache Ambari | |||||
|---|---|---|---|---|---|
| Product: | Apache Ambari | ||||
| Vendor: | Apache Software Foundation | ||||
| Default status: | unaffected | ||||
| Версии: |
|
||||
Ссылки
CVE Program Container
Обновлено:
21.01.2025
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.
Ссылки
CISA ADP Vulnrichment
Обновлено:
22.01.2025
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.
CVSS
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 7.5 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
SSVC
| Exploitation | Automatable | Technical Impact | Версия | Дата доступа |
|---|---|---|---|---|
| none | yes | partial | 2.0.3 | 22.01.2025 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.