CVE-2020-26564

**Nome do software vulnerável e versões afetadas:

Versões do ObjectPlanet Opinio anteriores à 7.15

Descrição:

A vulnerabilidade permite ataques XXE por meio de um processo de três etapas: modificar um arquivo .css para incluir conteúdo <!ENTITY, criar um arquivo .xml para um modelo de pesquisa genérico que vincule a esse arquivo .css e importar esse arquivo .xml na URI “survey/admin/folderSurvey.do?action=viewImportSurvey[‘importFile’]”. O XXE pode então ser acionado na URI “admin/preview.do?action=previewSurvey&surveyId=”.

Recomendações:

Para versões anteriores à 7.15, atualize para a versão 7.15 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos endpoints “survey/admin/folderSurvey.do” e “admin/preview.do” até que um patch seja aplicado. Evite usar o parâmetro importFile no endpoint da API afetado até que o problema seja resolvido.