PT-2020-13203 · I Net · I-Net Clear Reports
Publicado
2020-07-15
·
Atualizado
2020-07-22
·
CVE-2020-12684
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
i-net Clear Reports, versão 19.0.287
Descrição
O problema ocorre quando uma entrada XML contendo uma referência a uma entidade externa é processada por um analisador XML mal configurado, permitindo a injeção de XXE. Isso pode acontecer no i-net Clear Reports 2019, utilizado no i-net HelpDesk e em outros produtos.
Recomendações
Para a versão 19.0.287, considere reconfigurar o analisador XML para lidar adequadamente com entidades externas e impedir a injeção de XXE. Como solução alternativa temporária, restrinja o processamento de entradas XML que contenham referências a entidades externas até que uma configuração mais segura ou uma atualização esteja disponível.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
I-Net Clear Reports