PT-2022-15198 · Suse+1 · Opensuse Open Build Service+1
Victor Pereira
·
Publicado
2022-05-03
·
Atualizado
2022-05-25
·
CVE-2022-21949
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do SUSE Open Build Service anteriores à 2.10.13
Descrição
Uma vulnerabilidade no SUSE Open Build Service permite que invasores remotos façam referência a entidades externas em determinadas operações, podendo obter informações do servidor que podem ser utilizadas indevidamente para escalar privilégios de administrador no OBS.
Recomendações
Para versões anteriores à 2.10.13, atualize para a versão 2.10.13 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a determinadas operações que possam estar vulneráveis a ataques de Referência a Entidade Externa XML até que um patch seja aplicado.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Opensuse Open Build Service