Apache Shindig CVE-2013-4295 XML外部实体信息泄漏漏洞

漏洞起因
输入验证错误
危险等级

影响系统
Apache Shindig PHP 2.5.0

不受影响系统

危害
远程攻击者可以利用漏洞可获取服务器文件信息。
CVSSv2:

攻击所需条件
攻击者必须访问Apache Shindig PHP版本。

漏洞信息
shindig是apache的一个开源项目,实现了google的opensocial容器开源项目。
Apache Shindig PHP版本中的Gadget渲染程序受XML外部实体注入攻击,允许Gadget坐着构建恶意XML数据,使服务器上的文件显示在gadget子帧中,导致敏感信息泄漏。

测试方法

]>





&passwd; hello


安全建议

厂商解决方案
Apache Shindig PHP 2.5.0-update1已经修改该漏洞,建议用户下载更新:
http://shindig.apache.org

漏洞提供者
Kousuke Ebihara