PT-2022-20740 · Magicpin · Magicpin

Publicado

2022-06-14

Atualizado

2022-06-27

CVE-2022-31447

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Nome do software vulnerável e versões afetadas

Magicpin versão 3.4

Descrição

Uma vulnerabilidade de injeção de entidade externa XML (XXE) permite que invasores acessem informações confidenciais do banco de dados por meio de um arquivo SVG malicioso.

Recomendações

Para o Magicpin versão 3.4, atualize para uma versão que corrija a vulnerabilidade de injeção de entidade externa XML para impedir que invasores acessem informações confidenciais do banco de dados.

Como solução alternativa temporária, considere restringir o processamento de arquivos SVG para minimizar o risco de exploração.

Exploit

Correção

XXE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-611

Identificadores relacionados

CVE-2022-31447

PT-2022-20740 · Magicpin · Magicpin

CVE-2022-31447

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 6