SVG Salamander服务器端请求伪造安全绕过漏洞

2023-12-02 16:55:02 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

CVE编号

CVE-2017-5617

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2017-03-17

SVG Salamander是一个JAVA渲染器和动画师。 SVG Salamander存在安全绕过漏洞。攻击者利用该漏洞绕过安全约束执行未授权操作，发动进一步的攻击。

目前没有详细解决方案提供：https://github.com/blackears/svgSalamander/issues/11

参考链接
http://www.debian.org/security/2017/dsa-3781
http://www.openwall.com/lists/oss-security/2017/01/27/3
http://www.openwall.com/lists/oss-security/2017/01/29/2
http://www.securityfocus.com/bid/95871
https://github.com/blackears/svgSalamander/issues/11
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202003-11

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	kitfox	svg_salamander	-	-
	运行在以下环境
	系统	debian	debian_linux	8.0	-
	运行在以下环境
	系统	debian_10	svgsalamander	*		Up to (excluding) 1.1.1+dfsg-2
	运行在以下环境
	系统	debian_11	svgsalamander	*		Up to (excluding) 1.1.1+dfsg-2
	运行在以下环境
	系统	debian_12	svgsalamander	*		Up to (excluding) 1.1.1+dfsg-2
	运行在以下环境
	系统	debian_7	svgsalamander	*		Up to (excluding) 0~svn95-1+deb7u1
	运行在以下环境
	系统	debian_8	svgsalamander	*		Up to (excluding) 0~svn95-1+deb8u1
	运行在以下环境
	系统	debian_sid	svgsalamander	*		Up to (excluding) 1.1.1+dfsg-2
	运行在以下环境
	系统	fedora_29	svgsalamander-javadoc	*		Up to (excluding) 1.1.2-1.fc29
	运行在以下环境
	系统	fedora_30	svgsalamander-javadoc	*		Up to (excluding) 1.1.2-1.fc30
	运行在以下环境
	系统	ubuntu_12.04.5_lts	svgsalamander	*		Up to (excluding) 0~svn95-1+deb8u1build0.12.04.1
	运行在以下环境
	系统	ubuntu_14.04	svgsalamander	*		Up to (excluding) 0~svn95-1+deb8u1build0.14.04.1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	svgsalamander	*		Up to (excluding) 0~svn95-1+deb8u1build0.14.04.1
	运行在以下环境
	系统	ubuntu_16.04	svgsalamander	*		Up to (excluding) 0~svn95-1+deb8u1build0.16.04.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	svgsalamander	*		Up to (excluding) 0~svn95-1+deb8u1build0.16.04.1