PT-2021-14448 · Xmldom+2 · Xmldom+2

Brody4Hire

Publicado

2021-03-12

Atualizado

2023-05-24

CVE-2021-21366

CVSS v3.1

4.3

Média

Vetor

AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

Nome do software vulnerável e versões afetadas

xmldom versões 0.4.0 e anteriores

Descrição

O problema ocorre quando as versões 0.4.0 e anteriores do xmldom não preservam corretamente os identificadores do sistema, os FPIs ou os namespaces ao analisar e serializar repetidamente documentos criados com intenção maliciosa. Isso pode levar a alterações sintáticas inesperadas durante o processamento de XML em alguns aplicativos a jusante.

Recomendações

Para as versões 0.4.0 e anteriores, atualize para a versão 0.5.0.

Como solução alternativa temporária, os aplicativos a jusante podem validar a entrada e rejeitar os documentos criados com intenção maliciosa.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-436CWE-115

Identificadores relacionados

CVE-2021-21366

DLA-3260-1

GHSA-H6Q6-9HQW-RWFV

USN-6102-1

Produtos afetados

Linuxmint

Ubuntu

Xmldom

PT-2021-14448 · Xmldom+2 · Xmldom+2

CVE-2021-21366

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 22