PT-2021-22207 · Any23 · Any23
Zhuxuan Wu
·
Publicado
2021-09-11
·
Atualizado
2021-09-23
·
CVE-2021-38555
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Any23 anteriores à 2.5
Descrição
Foi descoberta uma vulnerabilidade de injeção de entidade externa XML (XXE) no arquivo StreamUtils.java do Any23. Trata-se de uma vulnerabilidade de segurança web que permite que um invasor interfira no processamento de dados XML por parte de um aplicativo, possibilitando que ele visualize arquivos no sistema de arquivos do servidor do aplicativo e interaja com sistemas back-end ou externos acessíveis pelo aplicativo.
Recomendações
Para versões anteriores à 2.5, atualize para a versão 2.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o processamento de dados XML para minimizar o risco de exploração.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Any23