JVNVU#97158970
SAP Sybase Adaptive Server Enterprise に XML インジェクションの脆弱性

SAP Sybase Adaptive Server Enterprise (ASE) には、XML インジェクションの脆弱性が存在します。

• SAP Sybase Adaptive Server Enterprise Version 15.7 ESD 2 およびそれ以前

SAP Sybase Adaptive Server Enterprise (ASE) には、XML インジェクション (CWE-91) の脆弱性が存在します。
本脆弱性は、XML 外部実体参照 (XXE) の問題に起因するものです。

当該製品のユーザによって、他のユーザの認証情報を取得される可能性があります。結果として、管理者権限でシステムにアクセスされる可能性があります。

パッチを適用する
開発者が提供する情報をもとに、パッチを適用してください。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

• OWASP XML External Entity (XXE) Processing を参考に、XML のパースに使用されている SAXParserFactory の外部実体参照機能を無効にする