PT-2021-16877 · Xml2Dict · Xml2Dict

Publicado

2021-06-30

·

Atualizado

2021-07-06

·

CVE-2021-25951

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
XML2Dict versão 0.2.2
Descrição
O problema é uma vulnerabilidade XXE que permite que um invasor provoque uma negação de serviço. A função parse não restringe adequadamente as referências recursivas a entidades.
Recomendações
Para o XML2Dict versão 0.2.2, considere desativar a função parse até que um patch esteja disponível para evitar possíveis ataques de negação de serviço. Restrinja o acesso ao módulo XML2Dict para minimizar o risco de exploração.

Exploit

Correção

XXE

XML Entity Expansion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-611CWE-776

Identificadores relacionados

CVE-2021-25951
GHSA-GP6M-VQHM-5CM5
PYSEC-2021-349

Produtos afetados

Xml2Dict