PT-2020-18323 · Python · Feedgen
Lkiesow
·
Publicado
2020-01-28
·
Atualizado
2020-02-08
·
CVE-2020-5227
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do python feedgen anteriores à 0.9.0
Descrição
A biblioteca feedgen é suscetível a ataques de negação de serviço (DoS) via XML ao fornecer XML como conteúdo para alguns campos, o que pode ser analisado e integrado à árvore XML existente. Isso se torna uma preocupação se o feedgen for usado para incluir conteúdo de fontes não confiáveis e se o XML for incluído diretamente, em vez de fornecer apenas conteúdo em texto simples.
Recomendações
Para versões anteriores à 0.9.0, atualize para o feedgen 0.9.0, que desativa a expansão de entidades XML e recursos externos.
Como solução temporária, evite fornecer XML diretamente ao feedgen ou certifique-se de que nenhuma expansão de entidade faça parte do XML.
Exploit
Correção
XML Entity Expansion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Feedgen