PT-2021-6838 · Glance+3 · Glance+3

Unknown

·

Publicado

2021-07-29

·

Atualizado

2022-07-25

·

CVE-2021-23418

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do Glances anteriores à 3.2.1
Descrição
O problema está relacionado à restrição incorreta de links XML para objetos externos, o que pode ser explorado por um invasor remoto para obter acesso a dados confidenciais, comprometer sua integridade e causar uma negação de serviço. A vulnerabilidade se deve ao uso do Fault para analisar dados XML não confiáveis, tornando-o suscetível a ataques de injeção de entidade externa XML (XXE).
Recomendações
Para versões do Glances anteriores à 3.2.1, atualize para a versão 3.2.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso do componente Fault para analisar dados XML não confiáveis até que um patch esteja disponível. Evite usar a função Fault para analisar dados XML não confiáveis nos pontos de extremidade da API afetados até que o problema seja resolvido.

Exploit

Correção

XXE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-611

Identificadores relacionados

ALT-PU-2021-2545
ALT-PU-2021-3612
ALT-PU-2022-2255
BDU:2022-02263
CVE-2021-23418
GHSA-R2MJ-8WGQ-73M6
PYSEC-2021-115
SNYK-PYTHON-GLANCES-1311807
USN-5187-1

Produtos afetados

Alt Linux
Linuxmint
Ubuntu
Glance