PT-2020-9930 · Eclipse · Eclipse Web Tools Platform
David Dworken
+1
·
Publicado
2020-07-15
·
Atualizado
2023-01-27
·
CVE-2019-17637
CVSS v3.1
7.1
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões da Eclipse Web Tools Platform anteriores à 3.18 (2020-06)
Descrição
A vulnerabilidade permite que arquivos XML e DTD que fazem referência a entidades externas sejam explorados, enviando o conteúdo de arquivos locais para um servidor remoto quando editados ou validados. Isso pode ocorrer mesmo quando a resolução de entidades externas estiver desativada nas preferências do usuário.
Recomendações
Para versões da Eclipse Web Tools Platform anteriores à 3.18 (2020-06), considere atualizar para uma versão posterior à 3.18 (2020-06) para resolver o problema. Como solução temporária, restrinja a edição e a validação de arquivos XML e DTD que se referem a entidades externas para minimizar o risco de exploração.
Exploit
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eclipse Web Tools Platform