Derekhaber

Nome do Software Vulnerável e Versões Afetadas: Versões do Allure 2 anteriores à 2.34.1 Descrição: Existe uma vulnerabilidade crítica de Entidade Externa XML (XXE) no plugin xunit-xml-plugin utilizado pelo Allure 2. O plugin não configura o analisador XML (`DocumentBuilderFactory`) de forma segura e permite a expansão de entidades externas ao processar arquivos .xml de resultados de testes. Isso permite que atacantes leiam arquivos arbitrários do sistema de arquivos e potencialmente desencadeiem falsificação de solicitação do lado do servidor (SSRF). Recomendações: Para versões anteriores à 2.34.1, atualize para a versão 2.34.1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao plugin xunit-xml-plugin para minimizar o risco de exploração. Evite utilizar o `DocumentBuilderFactory` com configurações padrão no plugin afetado até que o problema seja resolvido.