Carlwilson

Nome do software vulnerável e versões afetadas: veraPDF (versões afetadas não especificadas) Descrição: O problema está relacionado à execução de verificações de políticas usando arquivos Schematron personalizados por meio da CLI, o que invoca uma transformação XSL que, teoricamente, pode levar a uma vulnerabilidade de execução remota de código (RCE). Essa vulnerabilidade também está associada à restrição incorreta de links XML para objetos externos na função `mergeEnabledFeaturesFromPolicy()`. A exploração dessa vulnerabilidade pode permitir que um invasor remoto realize ataques XXE. A maioria dos usuários não é afetada, pois não insere código XSLT personalizado nos perfis de política. Recomendações: Para usuários que inserem código XSLT personalizado nos perfis de política, carregue apenas arquivos de política personalizados de fontes confiáveis. Como solução alternativa temporária, considere restringir o uso de arquivos Schematron personalizados até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões da biblioteca veraPDF anteriores à 1.24.2 **Descrição** A biblioteca veraPDF, uma biblioteca de validação de PDF/A, apresenta uma vulnerabilidade de execução remota de código (RCE) ao executar verificações de políticas utilizando arquivos Schematron personalizados. Isso aciona uma transformação XSL que pode levar à RCE. A maioria dos usuários não é afetada, pois não insere código XSLT personalizado nos perfis de política. Para os usuários que o fazem, recomenda-se carregar apenas arquivos de política personalizados de fontes confiáveis. **Recomendações** Para versões anteriores à 1.24.2, atualize para a versão 1.24.2 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere carregar apenas arquivos de política personalizados de fontes confiáveis, para minimizar o risco de exploração.