Vulnerability Name: | CVE-2014-2054 (CCN-91885) | ||||||||||||||||||||||||||||||||||||||||||||
Assigned: | 2014-03-02 | ||||||||||||||||||||||||||||||||||||||||||||
Published: | 2014-03-02 | ||||||||||||||||||||||||||||||||||||||||||||
Updated: | 2014-06-04 | ||||||||||||||||||||||||||||||||||||||||||||
Summary: | PHPExcel before 1.8.0, as used in ownCloud Server before 5.0.15 and 6.0.x before 6.0.2, does not disable external entity loading in libxml, which allows remote attackers to read arbitrary files, cause a denial of service, or possibly have other impact via an XML External Entity (XXE) attack. Per: http://cwe.mitre.org/data/definitions/611.html "CWE-611: Improper Restriction of XML External Entity Reference ('XXE')" | ||||||||||||||||||||||||||||||||||||||||||||
CVSS v3 Severity: | 5.3 Medium (CCN CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
| ||||||||||||||||||||||||||||||||||||||||||||
CVSS v2 Severity: | 7.5 High (CVSS v2 Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P) 5.5 Medium (Temporal CVSS v2 Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C)
3.7 Low (CCN Temporal CVSS v2 Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
| ||||||||||||||||||||||||||||||||||||||||||||
Vulnerability Type: | CWE-Other | ||||||||||||||||||||||||||||||||||||||||||||
Vulnerability Consequences: | Obtain Information | ||||||||||||||||||||||||||||||||||||||||||||
References: | Source: MITRE Type: CNA CVE-2014-2054 Source: CONFIRM Type: Vendor Advisory http://owncloud.org/about/security/advisories/oC-SA-2014-006/ Source: CCN Type: SA57357 PHPExcel XML External Entity Processing Vulnerability Source: CCN Type: BID-66172 PHPExcel CVE-2014-2054 XML External Entity Information Disclosure Vulnerability Source: XF Type: UNKNOWN phpexcel-cve20142054-info-disc(91885) Source: CONFIRM Type: UNKNOWN https://github.com/PHPOffice/PHPExcel/blob/develop/changelog.txt Source: CCN Type: PHPOffice / PHPExcel GIT Repository PHPExcel / changelog.tx Source: CCN Type: WhiteSource Vulnerability Database CVE-2014-2054 | ||||||||||||||||||||||||||||||||||||||||||||
Vulnerable Configuration: | Configuration 1: Configuration 2: Denotes that component is vulnerable | ||||||||||||||||||||||||||||||||||||||||||||
Oval Definitions | |||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||
BACK |