7.8высокая
BDU:2025-06619 (CVE-2024-28168)
Уязвимость инструмента для преобразований XML-файлов Apache XML Graphics FOP, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
Опубликовано: 2025-06-09
Описание
Уязвимость инструмента для преобразований XML-файлов Apache XML Graphics FOP связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить XXE-атаки
Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)openSUSE TumbleweedDebian GNU/Linux (11)Debian GNU/Linux (12)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Suse Linux Enterprise Server (15 SP2-LTSS)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Enterprise Storage (7.1)Suse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Basesystem (15 SP5)SUSE Linux Enterprise Module for Development Tools (15 SP5)Red Hat build of OptaPlanner (8)SUSE Linux Enterprise High Performance Computing (15 SP4-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP4-LTSS)Suse Linux Enterprise Server (15 SP4-LTSS)Suse Linux Enterprise Desktop (15 SP6)Suse Linux Enterprise Server (15 SP6)SUSE Linux Enterprise Server for SAP Applications (15 SP6)SUSE Linux Enterprise High Performance Computing (15 SP6)SUSE Linux Enterprise Module for Basesystem (15 SP6)
Способ устранения
Использование рекомендаций:
http://www.openwall.com/lists/oss-security/2024/10/09/1
https://xmlgraphics.apache.org/security.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-28168
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-28168
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-28168.html
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи