CVE-2024-37388

一、漏洞信息
 漏洞编号：[CVE-2024-37388](https://nvd.nist.gov/vuln/detail/CVE-2024-37388)
 漏洞归属组件：[python-lxml](https://gitee.com/src-openeuler/python-lxml)
 漏洞归属的版本：4.5.2,4.6.2,4.7.1
 CVSS V2.0分值：
  BaseScore：0.0 Low
  Vector：CVSS：2.0/
 漏洞简述：
  An XML External Entity (XXE) vulnerability in the ebookmeta.get_metadata function of lxml before v4.9.1 allows attackers to access sensitive information or cause a Denial of Service (DoS) via crafted XML input.
 漏洞公开时间：2024-06-08 03:15:24
 漏洞创建时间：2024-06-08 04:19:55
 漏洞详情参考链接：
  https://nvd.nist.gov/vuln/detail/CVE-2024-37388
<details>
<summary>更多参考(点击展开)</summary>

| 参考来源 | 参考链接 | 来源链接 |
| ------- | -------- | -------- |
| cve.mitre.org | https://github.com/dnkorpushov/ebookmeta/issues/16#issue-2317712335 |  |
| ubuntu | https://www.cve.org/CVERecord?id=CVE-2024-37388 | https://ubuntu.com/security/CVE-2024-37388 |
| ubuntu | https://github.com/dnkorpushov/ebookmeta/issues/16#issue-2317712335 | https://ubuntu.com/security/CVE-2024-37388 |
| ubuntu | https://nvd.nist.gov/vuln/detail/CVE-2024-37388 | https://ubuntu.com/security/CVE-2024-37388 |
| ubuntu | https://launchpad.net/bugs/cve/CVE-2024-37388 | https://ubuntu.com/security/CVE-2024-37388 |
| ubuntu | https://security-tracker.debian.org/tracker/CVE-2024-37388 | https://ubuntu.com/security/CVE-2024-37388 |
| debian |  | https://security-tracker.debian.org/tracker/CVE-2024-37388 |
| cve_search |  | https://github.com/dnkorpushov/ebookmeta/issues/16#issue-2317712335 |
| github_advisory | https://github.com/dnkorpushov/ebookmeta/issues/16#issue-2317712335 | https://github.com/advisories/GHSA-hx54-pf28-7xch |
| github_advisory | https://nvd.nist.gov/vuln/detail/CVE-2024-37388 | https://github.com/advisories/GHSA-hx54-pf28-7xch |

</details>

漏洞分析指导链接：
  https://gitee.com/openeuler/cve-manager/blob/master/cve-vulner-manager/doc/md/manual.md
 漏洞数据来源:
  openBrain开源漏洞感知系统
 漏洞补丁信息：
  <details>
<summary>详情(点击展开)</summary>

无
</details>

二、漏洞分析结构反馈
 影响性分析说明：
    ebookmeta.get_metadata函数中存在XML外部实体（XXE）漏洞，允许攻击者通过精心编制的XML输入访问敏感信息或导致拒绝服务（DoS）。 
 openEuler评分：
  5.3
 Vector：CVSS：2.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
 受影响版本排查(受影响/不受影响)：
  1.openEuler-20.03-LTS-SP4(4.5.2):受影响
2.openEuler-22.03-LTS-Next(4.7.1):受影响
3.openEuler-22.03-LTS-SP1(4.7.1):受影响
4.openEuler-22.03-LTS-SP3(4.7.1):受影响
5.openEuler-22.03-LTS-SP4(4.7.1):受影响
6.master(4.9.2):不受影响
7.openEuler-24.03-LTS(5.1.0):不受影响
8.openEuler-24.03-LTS-Next(5.1.0):不受影响

修复是否涉及abi变化(是/否)：
  1.master(4.9.2):否
2.openEuler-20.03-LTS-SP4(4.5.2):否
3.openEuler-22.03-LTS-Next(4.7.1):否
4.openEuler-22.03-LTS-SP1(4.7.1):否
5.openEuler-22.03-LTS-SP3(4.7.1):否
6.openEuler-22.03-LTS-SP4(4.7.1):否
7.openEuler-24.03-LTS(5.1.0):否
8.openEuler-24.03-LTS-Next(5.1.0):否

三、漏洞修复
安全公告链接：https://www.openeuler.org/zh/security/safety-bulletin/detail/?id=openEuler-SA-2024-1751

src-openEuler/python-lxml
关闭

内容风险标识

评论 (20)

src-openEuler/python-lxml关闭 .gitee-modal { width: 500px !important; }

内容风险标识

CVE-2024-37388

评论 (20)

搜索帮助

src-openEuler/python-lxml
关闭