В thinkgem JeeSite обнаружена ошибка до версии 5.15.1. Затронута неизвестная функция файла /com/jeesite/common/shiro/cas/CasOutHandler.java компонента Endpoint. Выполнение манипуляции может привести к ссылке на внешний объект XML.
Атака может быть осуществлена удаленно. Атаки такого рода очень сложны. Эксплуатация считается сложной.
Эксплойт опубликован и может быть использован. С поставщиком заранее связались по поводу этой информации, но он никак не отреагировал.
Показать оригинальное описание (EN)
A flaw has been found in thinkgem JeeSite up to 5.15.1. Impacted is an unknown function of the file /com/jeesite/common/shiro/cas/CasOutHandler.java of the component Endpoint. Executing a manipulation can lead to xml external entity reference. The attack may be performed from remote. Attacks of this nature are highly complex. The exploitability is considered difficult. The exploit has been published and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
Характеристики атаки
Последствия
Строка CVSS v4.0