PT-2021-18371 · Unknown · Report Portal Service-Api
Publicado
2021-06-23
·
Atualizado
2021-06-30
·
CVE-2021-29620
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 3.1.0 a 5.3.x da API de serviço do Report Portal
Descrição
A vulnerabilidade diz respeito a um ataque de entidade externa XML (XXE). Ela permite que um usuário importe um arquivo XML especialmente criado, o qual pode importar arquivos externos de Definição de Tipo de Documento (DTD) com entidades externas. Isso pode levar à extração de informações confidenciais do módulo service-api do Report Portal ou possibilitar a falsificação de solicitações no lado do servidor. A vulnerabilidade foi introduzida a partir da versão 3.1.0 do service-api, quando a análise de XML foi adicionada.
Recomendações
Para as versões 3.1.0 a 5.3.x, atualize para a versão 5.4.0 para resolver o problema.
Como solução alternativa temporária, considere desativar o recurso de análise de XML no módulo service-api até que a atualização para a versão 5.4.0 seja aplicada.
Restrinja o acesso ao módulo service-api para minimizar o risco de exploração.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Report Portal Service-Api