PT-2022-16733 · Red Hat+1 · Kie-Server Apis+1
Paramvir Jindal
·
Publicado
2022-08-09
·
Atualizado
2023-06-23
·
CVE-2022-2458
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Business Central (versões afetadas não especificadas)
Kie-Server APIs (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite que um invasor interfira no processamento de dados XML por um aplicativo por meio da injeção de entidade externa XML (XXE). Isso ocorre quando uma entrada XML contendo uma referência a uma entidade externa é processada por um analisador XML mal configurado, fazendo com que o produto incorpore documentos incorretos em sua saída. A XXE leva à interação com serviços externos e à leitura de arquivos internos.
Recomendações
Para o Business Central, considere desativar o processamento de entidades XML externas até que uma correção esteja disponível.
Para as APIs do Kie-Server, restrinja o acesso a documentos XML que possam conter entidades externas para minimizar o risco de exploração.
Como solução alternativa temporária, considere configurar o analisador XML para processar apenas entidades XML dentro da esfera de controle pretendida.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Business Central
Kie-Server Apis