BDU:2025-11250
Уязвимость методов addElement и addAttribute библиотеки для работы с XML, XPath и XSLT dom4j, позволяющая нарушителю проводить XXE-атаки
📄 Описание
Уязвимость методов addElement и addAttribute библиотеки для работы с XML, XPath и XSLT dom4j связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки
🖥️ Уязвимое ПО
Canonical Ltd., Novell Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», Red Hat Inc., Google Inc
Наименование ПО: Ubuntu, Suse Linux Enterprise Server, SUSE Linux Enterprise Software Development Kit, OpenSUSE Leap, SUSE Linux Enterprise Server for SAP Applications, openSUSE Tumbleweed, SUSE Manager Server, Suse Linux Enterprise Desktop, SUSE Linux Enterprise Module for Development Tools, dom4j, Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), SUSE Manager Proxy, SUSE Enterprise Storage, SUSE Linux Enterprise High Performance Computing, SUSE Package Hub, Red Hat Fuse, Red Hat JBoss Enterprise Application Platform, Android Studio
Версия ПО: 14.04 LTS (Ubuntu), 16.04 LTS (Ubuntu), 18.04 LTS (Ubuntu), 18.10 (Ubuntu), 11 SP4 (Suse Linux Enterprise Server), 11 SP4 (SUSE Linux Enterprise Software Development Kit), 19.04 (Ubuntu), 15.0 (OpenSUSE Leap), 11 SP4 (SUSE Linux Enterprise Server for SAP Applications), 19.10 (Ubuntu), - (openSUSE Tumbleweed), 3.2 (SUSE Manager Server), 20.04 LTS (Ubuntu), 20.10 (Ubuntu), 11 SP4 (Suse Linux Enterprise Desktop), 15 SP2 (SUSE Linux Enterprise Module for Development Tools), от 2.0.0 до 2.0.3 (dom4j), 21.04 (Ubuntu), 11 (Debian GNU/Linux), 12 (Debian GNU/Linux), 21.10 (Ubuntu), 7.3 (РЕД ОС), 15 SP3 (SUSE Linux Enterprise Server for SAP Applications), 4.2 (SUSE Manager Proxy), 4.2 (SUSE Manager Server), 15 SP3 (Suse Linux Enterprise Desktop), 7 (SUSE Enterprise Storage), 15 SP2 (SUSE Linux Enterprise Server for SAP Applications), 4.1 (SUSE Manager Server), 4.1 (SUSE Manager Proxy), 15 SP3 (SUSE Linux Enterprise Module for Development Tools), 15 SP4 (Suse Linux Enterprise Server), 15 SP2 (SUSE Linux Enterprise High Performance Computing), 15 SP4 (Suse Linux Enterprise Desktop), 15 SP4 (SUSE Linux Enterprise Server for SAP Applications), 22.04 LTS (Ubuntu), 4.3 (SUSE Manager Proxy), 4.3 (SUSE Manager Server), 15 SP4 (SUSE Linux Enterprise High Performance Computing), 7.1 (SUSE Enterprise Storage), 15 SP4 (SUSE Linux Enterprise Module for Development Tools), 22.10 (Ubuntu), 15 SP5 (SUSE Linux Enterprise Server for SAP Applications), 15 SP5 (Suse Linux Enterprise Server), 15 SP5 (Suse Linux Enterprise Desktop), 15 SP5 (SUSE Linux Enterprise High Performance Computing), 15 SP5 (SUSE Linux Enterprise Module for Development Tools), 23.04 (Ubuntu), 23.10 (Ubuntu), 15 SP6 (Suse Linux Enterprise Desktop), 15 SP6 (Suse Linux Enterprise Server), 15 SP6 (SUSE Linux Enterprise Server for SAP Applications), 15 SP6 (SUSE Linux Enterprise High Performance Computing), 24.04 LTS (Ubuntu), 15 (SUSE Package Hub), 15 SP6 (SUSE Linux Enterprise Module for Development Tools), 24.10 (Ubuntu), 15 SP7 (Suse Linux Enterprise Desktop), 15 SP7 (SUSE Linux Enterprise High Performance Computing), 15 SP7 (Suse Linux Enterprise Server), 15 SP7 (SUSE Linux Enterprise Server for SAP Applications), 15 SP7 (SUSE Linux Enterprise Module for Development Tools), 25.04 (Ubuntu), 7.7.0 (Red Hat Fuse), 13 (Debian GNU/Linux), от 2.1.0 до 2.1.1 (dom4j), 6.4 (Red Hat JBoss Enterprise Application Platform), 6.4 for RHEL 5 (Red Hat JBoss Enterprise Application Platform), 2025.2.3.9 (Android Studio)
Тип ПО: Операционная система, Прикладное ПО информационных систем
ОС / платформа: Canonical Ltd. Ubuntu 14.04 LTS , Canonical Ltd. Ubuntu 16.04 LTS , Canonical Ltd. Ubuntu 18.04 LTS , Canonical Ltd. Ubuntu 18.10 , Novell Inc. Suse Linux Enterprise Server 11 SP4 , Canonical Ltd. Ubuntu 19.04 , Novell Inc. OpenSUSE Leap 15.0 , Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4 , Canonical Ltd. Ubuntu 19.10 , Novell Inc. openSUSE Tumbleweed - , Canonical Ltd. Ubuntu 20.04 LTS , Canonical Ltd. Ubuntu 20.10 , Novell Inc. Suse Linux Enterprise Desktop 11 SP4 , Canonical Ltd. Ubuntu 21.04 , Сообщество свободного программного обеспечения Debian GNU/Linux 11 , Сообщество свободного программного обеспечения Debian GNU/Linux 12 , Canonical Ltd. Ubuntu 21.10 , ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751), Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 , Novell Inc. Suse Linux Enterprise Desktop 15 SP3 , Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2 , Novell Inc. Suse Linux Enterprise Server 15 SP4 , Novell Inc. Suse Linux Enterprise Desktop 15 SP4 , Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4 , Canonical Ltd. Ubuntu 22.04 LTS , Canonical Ltd. Ubuntu 22.10 , Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5 , Novell Inc. Suse Linux Enterprise Server 15 SP5 , Novell Inc. Suse Linux Enterprise Desktop 15 SP5 , Canonical Ltd. Ubuntu 23.04 , Canonical Ltd. Ubuntu 23.10 , Novell Inc. Suse Linux Enterprise Desktop 15 SP6 , Novell Inc. Suse Linux Enterprise Server 15 SP6 , Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6 , Canonical Ltd. Ubuntu 24.04 LTS , Canonical Ltd. Ubuntu 24.10 , Novell Inc. Suse Linux Enterprise Desktop 15 SP7 , Novell Inc. Suse Linux Enterprise Server 15 SP7 , Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP7 , Canonical Ltd. Ubuntu 25.04 , Сообщество свободного программного обеспечения Debian GNU/Linux 13
⚙️ Технические сведения
Тип ошибки
Внедрение XML (Blind XPath Injection) (CWE-91), Неверное ограничение XML-ссылок на внешние объекты (CWE-611)
Класс уязвимости
Уязвимость кода
Дата выявления
01.07.2018
Способ эксплуатации
Инъекция
Способ устранения
Обновление программного обеспечения
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Устранение
Уязвимость устранена
📊 CVSS
CVSS 2.0
AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS 3.0
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
⚠️ Уровень опасности
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)
🔗 Источники и меры
🔗 https://github.com/dom4j/dom4j/commit/e598eb43d418... 🔗 http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ 🔗 https://security-tracker.debian.org/tracker/CVE-20... 🔗 https://access.redhat.com/security/cve/cve-2018-10... 🔗 https://ubuntu.com/security/CVE-2018-1000632 🔗 https://www.suse.com/security/cve/CVE-2018-1000632...
🏷️ Идентификаторы
CVE-2018-1000632
📅 Даты
Дата публикации
17.09.2025
Последнее обновление
10.02.2026
← Назад к списку