Apache XML-RPC服务器端请求伪造漏洞

CVE编号

CVE-2016-5002

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-10-28

漏洞描述

Apache XML-RPC是美国阿帕奇（Apache）软件基金会的一套简单的、轻量级的通过HTTP协议进行RPC通信的规范。
Apache XML-RPC中存在服务器端请求伪造漏洞，允许远程攻击者构建恶意URI，诱使用户解析，可以目标用户上下文执行恶意操作。

解决建议

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：
http://archiva.apache.org/

参考链接
http://www.openwall.com/lists/oss-security/2016/07/12/5
http://www.securityfocus.com/bid/91736
http://www.securitytracker.com/id/1036294
https://0ang3el.blogspot.in/2016/07/beware-of-ws-xmlrpc-library-in-your.html
https://access.redhat.com/errata/RHSA-2018:3768
https://exchange.xforce.ibmcloud.com/vulnerabilities/115042

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	xml-rpc	3.1.3	-
	运行在以下环境
	系统	fedora_26	xmlrpc	*		Up to (excluding) 3.1.3-20.fc26
	运行在以下环境
	系统	fedora_26	xmlrpc-client	*		Up to (excluding) 3.1.3-20.fc26
	运行在以下环境
	系统	fedora_26	xmlrpc-common	*		Up to (excluding) 3.1.3-20.fc26
	运行在以下环境
	系统	fedora_26	xmlrpc-javadoc	*		Up to (excluding) 3.1.3-20.fc26
	运行在以下环境
	系统	fedora_26	xmlrpc-server	*		Up to (excluding) 3.1.3-20.fc26
	运行在以下环境
	系统	fedora_27	xmlrpc	*		Up to (excluding) 3.1.3-20.fc27
	运行在以下环境
	系统	fedora_27	xmlrpc-client	*		Up to (excluding) 3.1.3-20.fc27
	运行在以下环境
	系统	fedora_27	xmlrpc-common	*		Up to (excluding) 3.1.3-20.fc27
	运行在以下环境
	系统	fedora_27	xmlrpc-javadoc	*		Up to (excluding) 3.1.3-20.fc27
	运行在以下环境
	系统	fedora_27	xmlrpc-server	*		Up to (excluding) 3.1.3-20.fc27
	运行在以下环境
	系统	fedora_28	xmlrpc	*		Up to (excluding) 3.1.3-20.fc28
	运行在以下环境
	系统	fedora_28	xmlrpc-client	*		Up to (excluding) 3.1.3-20.fc28
	运行在以下环境
	系统	fedora_28	xmlrpc-common	*		Up to (excluding) 3.1.3-20.fc28
	运行在以下环境
	系统	fedora_28	xmlrpc-javadoc	*		Up to (excluding) 3.1.3-20.fc28
	运行在以下环境
	系统	fedora_28	xmlrpc-server	*		Up to (excluding) 3.1.3-20.fc28
查看完整数据

阿里云评分 2.9

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-611 XML外部实体引用的不恰当限制（XXE）