PT-2022-13031 · Corenlp · Corenlp

Angledluffa

+1

·

Publicado

2022-01-13

·

Atualizado

2022-01-19

·

CVE-2022-0198

CVSS v3.1

6.1

Média

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
Nome do software vulnerável e versões afetadas
corenlp (versões afetadas não especificadas)
Descrição
O problema está relacionado à restrição inadequada de referências a entidades externas XML (XXE). A função TransformXML() utiliza um SAXParser gerado a partir de um SAXParserFactory sem a opção FEATURE SECURE PROCESSING definida, permitindo ataques XXE.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

XXE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-611

Identificadores relacionados

CVE-2022-0198
GHSA-MH83-JCW5-RJH8

Produtos afetados

Corenlp