PT-2022-2076 · Apache · Any23
Liontree0110
·
Publicado
2022-03-04
·
Atualizado
2022-03-12
·
CVE-2022-25312
CVSS v3.1
9.4
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Any23 anteriores à 2.7
Descrição
Foi descoberta uma vulnerabilidade de injeção de entidade externa XML (XXE) no extrator Any23 RDFa XSLTStylesheet. Essa vulnerabilidade permite que um invasor interfira no processamento de dados XML por parte de um aplicativo, possibilitando que ele visualize arquivos no sistema de arquivos do servidor do aplicativo e interaja com sistemas back-end ou externos aos quais o aplicativo tenha acesso.
Recomendações
Para versões anteriores à 2.7, atualize para o Apache Any23 2.7 para resolver o problema. Como solução temporária, considere restringir o uso da classe
extractor.rdfa.XSLTStylesheet até que um patch esteja disponível.Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Any23