PT-2021-14572 · Unknown · Srs Policy Manager
Lukasz Plonka
·
Publicado
2021-03-01
·
Atualizado
2021-03-08
·
CVE-2021-21517
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L |
Nome do software vulnerável e versões afetadas
SRS Policy Manager versões 6.X
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de entidade externa XML (XXE). Isso ocorre devido a um analisador XML mal configurado que não valida suficientemente a entrada DTD fornecida pelo usuário. Um invasor remoto não autenticado pode explorar essa vulnerabilidade para ler arquivos do sistema como um usuário não root e pode interromper temporariamente o serviço ESRS.
Recomendações
Para as versões 6.X do SRS Policy Manager, certifique-se de que o analisador XML esteja configurado corretamente para validar a entrada DTD fornecida pelo usuário, a fim de evitar ataques XXE. Como solução alternativa temporária, considere restringir o acesso ao analisador XML até que uma configuração adequada ou um patch esteja disponível.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Srs Policy Manager