ГлавнаяБаза уязвимостей БДУ → BDU:2025-11250
7.8высокая

BDU:2025-11250 (CVE-2018-1000632)

Уязвимость методов addElement и addAttribute библиотеки для работы с XML, XPath и XSLT dom4j, позволяющая нарушителю проводить XXE-атаки
Опубликовано: 2025-09-17
Описание

Уязвимость методов addElement и addAttribute библиотеки для работы с XML, XPath и XSLT dom4j связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Ubuntu (18.10)Suse Linux Enterprise Server (11 SP4)SUSE Linux Enterprise Software Development Kit (11 SP4)Ubuntu (19.04)OpenSUSE Leap (15.0)SUSE Linux Enterprise Server for SAP Applications (11 SP4)Ubuntu (19.10)openSUSE TumbleweedSUSE Manager Server (3.2)Ubuntu (20.04 LTS)Ubuntu (20.10)Suse Linux Enterprise Desktop (11 SP4)SUSE Linux Enterprise Module for Development Tools (15 SP2)dom4j (от 2.0.0 до 2.0.3)Ubuntu (21.04)Debian GNU/Linux (11)Debian GNU/Linux (12)Ubuntu (21.10)РЕД ОС (7.3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)Suse Linux Enterprise Desktop (15 SP3)SUSE Enterprise Storage (7)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Manager Server (4.1)SUSE Manager Proxy (4.1)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для dom4j:
https://github.com/dom4j/dom4j/commit/e598eb43d418744c4dbf62f647dd2381c9ce9387

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2018-1000632

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2018-1000632

Для Ubuntu:
https://ubuntu.com/security/CVE-2018-1000632

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-1000632.html

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/dom4j/dom4j/commit/e598eb43d418744c4dbf62f647dd2381c9ce9387http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://security-tracker.debian.org/tracker/CVE-2018-1000632https://access.redhat.com/security/cve/cve-2018-1000632https://ubuntu.com/security/CVE-2018-1000632https://www.suse.com/security/cve/CVE-2018-1000632.html
Проверьте безопасность своего сайта и почты → Полная проверка домена