CVE-2021-27931

Critical

LumisXP (aka Lumis Experience Platform) before 10.0.0 allows unauthenticated blind XXE via an API request to PageControllerXml.jsp. One can…

mitre·CWE-611·Published 2021-03-03

CVSS

9.1

EPSS

0.19

KEV

Exploits

cve.orgen

260 chars

LumisXP (aka Lumis Experience Platform) before 10.0.0 allows unauthenticated blind XXE via an API request to PageControllerXml.jsp. One can send a request crafted with an XXE payload and achieve outcomes such as reading local server files or denial of service.

NVDen

260 chars

NVDes

358 chars

LumisXP (también se conoce como como Lumis Experience Platform) anterior a versión 10.0.0, permite un XXE ciego no autenticado a través de una petición de API en el archivo PageControllerXml.jsp. Se puede enviar una petición diseñada con una carga útil XXE y lograr resultados como una lectura de archivos del servidor local o una denegación de servicio

CVSS metrics across sources

Version	Type	Source	Base	Exp	Impact	Vector
2.0	Primary	NVD	6.4	10.0	4.9	AV:N/AC:L/Au:N/C:P/I:N/A:P
3.1	Primary	NVD	9.1	3.9	5.2	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H