CVE-2016-6798 in Sling
Riassunto
di VulDB • 16/06/2026
Nel modulo XSS Protection API di Apache Sling, versione precedente alla 1.0.12, il metodo XSS.getValidXML() utilizza un parser SAX non sicuro per convalidare la stringa in input, consentendo attacchi XXE (XML External Entity) a tutti gli script che impiegano tale metodo per validare l'input dell'utente; ciò potrebbe potenzialmente permettere all'attaccante di leggere dati sensibili sul filesystem, eseguire attacchi SSRF (Server-Side Request Forgery), effettuare port-scanning dietro il firewall o causare un DoS (Denial of Service) all'applicazione.
If you want to get best quality of vulnerability data, you may have to visit VulDB.