PT-2022-11429 · Silverstripe · Silverstripe/Framework
Matthew Dekker
·
Publicado
2022-06-28
·
Atualizado
2024-03-06
·
CVE-2021-41559
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Silverstripe silverstripe/framework, versões 4.8.1 a 4.10.9
Descrição
O problema está relacionado a um aumento exponencial na função
Convert::xml2array(), que pode ser explorado por meio de um documento XML malicioso para permitir um ataque remoto.Recomendações
Para as versões 4.8.1 a 4.10.9, considere desativar a função
Convert::xml2array() até que um patch esteja disponível para evitar uma possível exploração.Restrinja o acesso a documentos XML maliciosos para minimizar o risco de um ataque remoto.
Exploit
Correção
XML Entity Expansion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Silverstripe/Framework