CVE-2021-21266

**Nome do software vulnerável e versões afetadas:

Versões do openHAB anteriores à 2.5.12

Versões do openHAB anteriores à 3.0.1

Descrição:

A vulnerabilidade permite que invasores na mesma rede que a instância do openHAB recuperem informações internas, como o conteúdo de arquivos do sistema de arquivos, por meio de um ataque de entidade externa XML (XXE). Respostas a solicitações SSDP podem ser especialmente maliciosas. Todos os complementos que utilizam análise SAX ou JAXB de XML recebido externamente estão potencialmente sujeitos a esse tipo de ataque. Os seguintes complementos estão potencialmente afetados: AvmFritz, BoseSoundtouch, DenonMarantz, DLinkSmarthome, Enigma2, FmiWeather, FSInternetRadio, Gce, Homematic, HPPrinter, IHC, Insteon, Onkyo, Roku, SamsungTV, Sonos, Tellstick, TR064, UPnPControl, Vitotronic, Wemo, YamahaReceiver e XPath Tranformation.

Recomendações:

Para versões do openHAB anteriores à 2.5.12, atualize para a versão 2.5.12 ou posterior para corrigir a vulnerabilidade por meio de uma configuração mais restrita do analisador XML utilizado.

Para versões do openHAB anteriores à 3.0.1, atualize para a versão 3.0.1 ou posterior para corrigir a vulnerabilidade por meio de uma configuração mais restrita do analisador XML utilizado.