正文

SAS Institute SAS XML Mapper 代码问题漏洞

admin
admin V管理员 /0 评论 /13 阅读
0422
此篇文章发布距今已超过1102天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2019-14678

利用情况

暂无

补丁情况

N/A

披露时间

2019-11-15
漏洞描述
SAS Institute SAS XML Mapper是美国赛仕(SAS Institute)公司的一款XML映射器。该产品能够自动分析XML文件的结构并生成基本元数据。 SAS XML Mapper 9.45具有XML外部实体(XXE)漏洞,恶意攻击者可以通过多种方式利用该漏洞。例如本地文件读取,带外文件泄漏,服务器端请求伪造和/或潜在的拒绝服务攻击。使用AUTOMAP选项时,此漏洞也会影响XMLV2 LIBNAME引擎。
解决建议
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
https://www.sas.com
参考链接
http://support.sas.com/kb/64/719.html
https://github.com/DrunkenShells/Disclosures/tree/master/CVE-2019-14678-Unsaf...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 sas base_sas 9.4 -
运行在以下环境
应用 sas xml_mapper 9.45 -
CVSS3评分 10.0
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 已更改
  • 用户交互 无
  • 可用性 高
  • 保密性 高
  • 完整性 高
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-611 XML外部实体引用的不恰当限制(XXE)