CVE-2021-22338

Versões do eCNS280 de V100R005C00 a V100R005C10

O problema está relacionado a uma vulnerabilidade de injeção XXE. Um módulo não realiza operações rigorosas na mensagem XML de entrada, permitindo que um invasor envie uma mensagem específica para explorar essa vulnerabilidade. Isso pode levar a uma negação de serviço do módulo. A vulnerabilidade está associada a uma restrição incorreta de links XML para objetos externos, o que pode ser explorado por um invasor remoto.

Para as versões V100R005C00 e V100R005C10 do eCNS280, considere desativar o módulo que processa mensagens XML até que um patch esteja disponível para impedir a exploração.

Como solução temporária, restrinja o acesso ao módulo que lida com entradas XML para minimizar o risco de negação de serviço.

Evite usar o módulo vulnerável até que o problema seja resolvido com uma correção adequada.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.