Acornall

**Nome do software vulnerável e versões afetadas** fontTools, versões 4.28.2 a 4.42.1 **Descrição** O módulo de subconjuntos do fontTools apresenta uma vulnerabilidade de injeção de entidade externa XML (XXE), permitindo que um invasor resolva entidades arbitrárias quando uma fonte candidata (fontes OT-SVG) contendo uma tabela SVG é analisada. Isso permite que invasores incluam arquivos arbitrários do sistema de arquivos no qual o fontTools está sendo executado ou façam solicitações da Web a partir do sistema host. **Recomendações** Para as versões 4.28.2 a 4.42.1 do fontTools, atualize para a versão 4.43.0 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere definir o sinalizador `resolve entities=False` nos métodos de análise para mitigar o problema. Restrinja o acesso a fontes OT-SVG não confiáveis para minimizar o risco de exploração. Considere proibir declarações de tipo de documento e implementar correspondência recursiva de expressões regulares como medidas de mitigação adicionais.