CVE-2016-6798 in Sling信息

摘要

由 VulDB • 2026-06-20

在 Apache Sling 1.0.12 之前的 XSS Protection API 模块中,XSS.getValidXML() 方法使用不安全的 SAX 解析器来验证输入字符串,这使得所有使用该方法来验证用户输入的脚本都可能遭受 XXE(XML External Entity)攻击。这可能导致攻击者读取文件系统上的敏感数据、执行同站请求伪造 (SSRF)、在防火墙后进行端口扫描或对应用程序实施拒绝服务 (DoS)。

Once again VulDB remains the best source for vulnerability data.

来源

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!