PT-2022-1741 · Ge · Ge Gas Power Toolboxst
Sharon Briznov
·
Publicado
2022-01-25
·
Atualizado
2022-04-04
·
CVE-2021-44477
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
GE Gas Power ToolBoxST versão v04.07.05C
Descrição
O problema está relacionado a uma vulnerabilidade de entidade externa XML (XXE) que utiliza a técnica de entidades de parâmetro DTD. Isso pode resultar na divulgação e recuperação de dados arbitrários no nó afetado por meio de um ataque fora de banda (OOB). A vulnerabilidade é acionada quando a entrada passada para o analisador XML não é sanitizada durante a análise do arquivo de projeto/modelo XML.
Recomendações
Para o GE Gas Power ToolBoxST versão v04.07.05C, certifique-se de que a entrada passada para o analisador XML seja devidamente sanitizada para evitar a exploração da vulnerabilidade XXE. Como solução alternativa temporária, considere restringir o acesso ao analisador XML ou limitar a análise de arquivos de projeto/modelo XML até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ge Gas Power Toolboxst