正文

apereo opencast dtd中递归实体索引的不恰当限制(xml实体扩展)

admin
admin V管理员 /0 评论 /13 阅读
0421
此篇文章发布距今已超过1119天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2021-32623

利用情况

暂无

补丁情况

N/A

披露时间

2021-06-16
漏洞描述
Opencast is a free and open source solution for automated video capture and distribution. Versions of Opencast prior to 9.6 are vulnerable to the billion laughs attack, which allows an attacker to easily execute a (seemingly permanent) denial of service attack, essentially taking down Opencast using a single HTTP request. To exploit this, users need to have ingest privileges, limiting the group of potential attackers The problem has been fixed in Opencast 9.6. There is no known workaround for this issue.
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/opencast/opencast/commit/8ae27da5a6f658011a5741b3210e715b0dc6213e
https://github.com/opencast/opencast/security/advisories/GHSA-9gwx-9cwp-5c2m
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apereo opencast * Up to
(excluding)
9.6
CVSS3评分 6.5
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 低
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 高
  • 保密性 无
  • 完整性 无
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CWE-ID 漏洞类型 CWE-776 DTD中递归实体索引的不恰当限制(XML实体扩展)