Direct Web Remoting (DWR) – XML 外部実体参照 (XXE) に関する脆弱性

Direct Web Remoting (DWR) は、Ajax アプリケーションを Java で開発するためのフレームワークです。
DWR には、XML 外部実体参照 (XXE) に関する脆弱性が存在します。
アプリケーションが DOM データを変換する機能 (DOMConverter, JDOMConverter, DOM4JConverter, XOMConverter) を使用している場合、細工されたリクエストを処理した際に、サーバ上の任意のファイルを読みとられる可能性があります。

——————————————————————————–

【影響を受けるシステム】
Direct Web Remoting
•DWR Version 2.0.10 およびそれ以前
•DWR Version 3.0.RC2 およびそれ以前
——————————————————————————–

【対策方法】

開発者が提供する情報をもとに DWR を最新版へアップデートし、DWR を利用して開発したアプリケーションの JAR ファイルを置き換えてください。


Warning: Use of undefined constant rand - assumed 'rand' (this will throw an Error in a future version of PHP) in /home/vuser02/0/4/0196840023/www.knowledge-s.com/news/wp-content/themes/portal/single.php on line 23