ГлавнаяБаза уязвимостей БДУ → BDU:2025-06619
7.8высокая

BDU:2025-06619 (CVE-2024-28168)

Уязвимость инструмента для преобразований XML-файлов Apache XML Graphics FOP, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
Опубликовано: 2025-06-09
Описание

Уязвимость инструмента для преобразований XML-файлов Apache XML Graphics FOP связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить XXE-атаки

Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)openSUSE TumbleweedDebian GNU/Linux (11)Debian GNU/Linux (12)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Suse Linux Enterprise Server (15 SP2-LTSS)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Enterprise Storage (7.1)Suse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Basesystem (15 SP5)SUSE Linux Enterprise Module for Development Tools (15 SP5)Red Hat build of OptaPlanner (8)SUSE Linux Enterprise High Performance Computing (15 SP4-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP4-LTSS)Suse Linux Enterprise Server (15 SP4-LTSS)Suse Linux Enterprise Desktop (15 SP6)Suse Linux Enterprise Server (15 SP6)SUSE Linux Enterprise Server for SAP Applications (15 SP6)SUSE Linux Enterprise High Performance Computing (15 SP6)SUSE Linux Enterprise Module for Basesystem (15 SP6)
Способ устранения

Использование рекомендаций:
http://www.openwall.com/lists/oss-security/2024/10/09/1
https://xmlgraphics.apache.org/security.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-28168

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-28168

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-28168.html

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2024/10/09/1https://xmlgraphics.apache.org/security.htmlhttps://security-tracker.debian.org/tracker/CVE-2024-28168https://access.redhat.com/security/cve/CVE-2024-28168https://www.suse.com/security/cve/CVE-2024-28168.html
Проверьте безопасность своего сайта и почты → Полная проверка домена