PT-2022-26190 · Dragonfly · Dragonfly
Joshuasing
·
Publicado
2022-12-27
·
Atualizado
2023-01-06
·
CVE-2022-41967
CVSS v3.1
7.0
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:L |
Nome do software vulnerável e versões afetadas
Dragonfly versão 0.3.0-SNAPSHOT
Descrição
O problema diz respeito a uma biblioteca de gerenciamento de dependências do Java Runtime que não configura o DocumentBuilderFactory para impedir ataques de entidade externa XML (XXE). Isso pode ser evitado evitando-se a resolução de versões
SNAPSHOT, uma vez que a biblioteca apenas analisa XML para essas versões.Recomendações
Para a versão 0.3.0-SNAPSHOT do Dragonfly, atualize para a versão 0.3.1-SNAPSHOT para resolver o problema. Como solução alternativa temporária, considere evitar a resolução de versões
SNAPSHOT para minimizar o risco de exploração.Exploit
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dragonfly