CVE-2023-26920

**Nome do software vulnerável e versões afetadas:

versões do fast-xml-parser anteriores à 4.1.2

Descrição:

A vulnerabilidade permite a contaminação de protótipos (Prototype Pollution) por meio da variável proto. Isso pode ser explorado incluindo proto como nome de tag ou atributo em uma string XML. O número estimado de dispositivos potencialmente afetados não foi divulgado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Os detalhes técnicos incluem o uso de proto em strings XML, o que pode levar à contaminação de protótipos. Por exemplo, um invasor poderia usar o endpoint /api/v1/parser com uma string XML maliciosa contendo proto para explorar a vulnerabilidade. Os parâmetros ou variáveis vulneráveis incluem proto. Nomes de funções como XMLParser() também são afetados.

Recomendações:

Para versões do fast-xml-parser anteriores à 4.1.2, atualize para a versão 4.1.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere verificar se há “ proto ” na string XML antes de enviá-la ao analisador. Restrinja o acesso à função XMLParser() para minimizar o risco de exploração. Evite usar a variável proto em strings XML até que o problema seja resolvido.