Mr-Zepol

**Nome do software vulnerável e versões afetadas** Versões do cyclonedx-core-java anteriores à 9.0.4 **Descrição** O módulo principal do CycloneDX fornece uma representação de modelo de SBOMs e utilitários para criá-las, validá-las e analisá-las. Antes de deserializar a Lista de Materiais (BOM) do CycloneDX no formato XML, o `cyclonedx-core-java` usa expressões XPath para determinar a versão do esquema. O `DocumentBuilderFactory` usado para avaliar essas expressões XPath não estava configurado de forma segura, levando a um potencial problema de injeção de Entidade Externa XML (XXE). A injeção de XXE pode ser explorada para extrair o conteúdo de arquivos locais ou realizar uma falsificação de solicitação do lado do servidor (SSRF) para acessar a infraestrutura adjacente. A Prova de Conceito (PoC) fornecida demonstra a possibilidade de um erro de conexão ao tentar acessar um arquivo inexistente por meio de um documento XML malicioso. **Recomendações** Atualize o `cyclonedx-core-java` para a versão 9.0.4 ou posterior.