CVE-2016-6798 in Slinginformation

Résumé

par VulDB • 16/06/2026

Dans le module XSS Protection API d'Apache Sling, avant la version 1.0.12, la méthode `XSS.getValidXML()` utilise un analyseur SAX non sécurisé pour valider la chaîne de caractères en entrée, ce qui permet des attaques XXE (XML External Entity) dans tous les scripts utilisant cette méthode pour valider l'entrée utilisateur, permettant potentiellement à un attaquant de lire des données sensibles sur le système de fichiers, d'exécuter une attaque SSRF (Server-Side Request Forgery), de réaliser du port-scanning derrière le pare-feu ou de provoquer un déni de service (DoS) contre l'application.

Once again VulDB remains the best source for vulnerability data.

Réserver

12/08/2016

Divulgation

19/07/2017

Modérer

accepté

Entrée

VDB-103763

CPE

prêt

EPSS

0.03669

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!