CVE-2023-26058

Versões do Nokia NetAct anteriores à 22 FP2211

Foi detectada uma vulnerabilidade de tipo XXE no Nokia NetAct por meio de um documento XML enviado a uma página do Performance Manager, onde faltam a validação de entrada e uma configuração adequada do analisador XML. Isso poderia permitir que um invasor obtivesse acesso não autorizado a informações protegidas ou realizasse um ataque SSRF. Para um invasor externo, é muito difícil explorar essa vulnerabilidade, pois seriam necessários parâmetros criados dinamicamente, como Jsession-id, CSRF token e Nxsrf token. Na prática, o ataque só pode ser realizado por um usuário interno.

Para versões do Nokia NetAct anteriores à 22 FP2211, atualize para a versão 22 FP2211 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso à página do Performance Manager e garantir a validação adequada de entradas e a configuração do analisador XML para minimizar o risco de exploração. Restrinja o acesso a parâmetros criados dinamicamente, como Jsession-id, CSRF token e Nxsrf token, para impedir o acesso não autorizado.