PT-2022-16153 · Unknown · Xlsx-Streamer

Pjfanning

·

Publicado

2022-03-02

·

Atualizado

2023-07-24

·

CVE-2022-23640

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do xlsx-streamer anteriores à 2.1.0
Descrição
O problema diz respeito ao analisador XML utilizado no Excel-Streaming-Reader, que não aplicou todas as configurações necessárias para evitar problemas de expansão de entidades XML. Esse problema é resolvido com a atualização para a versão 2.1.0. Não há nenhuma solução alternativa conhecida para este problema.
Recomendações
Atualize para a versão 2.1.0 para receber um patch. Como não há solução alternativa conhecida, a atualização para a versão especificada é a medida recomendada para mitigar o risco associado a este problema.

Exploit

Correção

XML Entity Expansion

XXE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-776CWE-611

Identificadores relacionados

CVE-2022-23640
GHSA-XVM2-9XVC-HX7F

Produtos afetados

Xlsx-Streamer