Jkowalleck

**Nome do software vulnerável e versões afetadas** Biblioteca JavaScript CycloneDX versão 6.7.0 **Descrição** A biblioteca JavaScript CycloneDX está vulnerável a injeções de Entidade Externa XML (XXE) ao executar o validador XML fornecido em entradas arbitrárias. Este problema foi corrigido na versão 6.7.1. Para explorar essa vulnerabilidade, um invasor poderia criar uma entrada XML maliciosa que inclua uma entidade externa, levando potencialmente a um comportamento indesejado. Por exemplo, um invasor poderia usar a função `XmlValidator` para validar uma entrada falsificada, como a mostrada no código de prova de conceito, que inclui uma injeção de entidade externa XML. A função `validator.validate(input)` processaria então essa entrada, potencialmente levando em conta a entidade externa. **Recomendações** Para a versão 6.7.0, atualize para a versão 6.7.1 para corrigir o problema. Como solução alternativa temporária, não execute o validador XML fornecido em entradas não confiáveis.