CVE-2021-37425

Versões do Altova MobileTogether Server anteriores à 7.3 SP1

A vulnerabilidade permite ataques XXE. Especificamente, ela possibilita ataques como InfoSetChanges/Changes contra o endpoint da API “/workflowmanagement”, ou a leitura do arquivo mobiletogetherserver.cfg e, consequentemente, o acesso ao certificado e à chave privada.

Para versões anteriores à 7.3 SP1, atualize para a versão 7.3 SP1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API “/workflowmanagement” até que um patch esteja disponível. Evite usar arquivos de configuração confidenciais, como o mobiletogetherserver.cfg, em locais não seguros para minimizar o risco de exploração.