漏洞的基于web的用户界面,思科能源管理套件软件可以允许经过身份验证的远程攻击者获得读和写访问的信息存储在一个受影响的系统。漏洞是由于处理不当的XML解析外部实体(XXE)条目当特定的XML文件。攻击者可以利用此漏洞通过说服用户影响系统的导入与恶意条目的XML文件,这可能允许攻击者读取和写入文件内受影响的应用程序。
http://www.securityfocus.com/bid/105860
https://tools.cisco.com/security/center/content/ciscosecurityadvisory/cisco - sa - 20181107 - ems - xml - xxe
//www.yyueer.com/security/research/tra - 2018 - 36
源:主教法冠
发表:2018-11-08
更新:2019-10-09
类型:cwe - 611
基础分数:4.9
向量:AV: N /交流:M /非盟:S / C: P / I: P / N
影响得分:4.9
可利用性得分:6.8
严重程度:媒介
基础分数:7.3
向量:CVSS: 3.0 / AV: N /交流:L /公关:L / UI: R / S: U / C: H /我:H: N
影响得分:5.2
可利用性得分:2.1
严重程度:高