CVE-2023-26057

Versões do Nokia NetAct anteriores à 22 FP2211

Foi detectada uma vulnerabilidade do tipo XXE por meio de um documento XML enviado à página do Painel de Configuração, onde faltam a validação de entradas e uma configuração adequada do analisador XML. Isso dificulta a exploração por um invasor externo, pois seriam necessários parâmetros criados dinamicamente, como Jsession-id, CSRF token e Nxsrf token. Realisticamente, o ataque só pode ser realizado por um usuário interno. A vulnerabilidade está relacionada à restrição incorreta de links XML para objetos externos, o que pode permitir que um invasor obtenha acesso não autorizado a informações protegidas ou execute um ataque SSRF.

Para versões do Nokia NetAct anteriores à 22 FP2211, considere implementar uma validação de entrada adequada e configurar um analisador XML para mitigar o risco de exploração. Como solução alternativa temporária, restrinja o acesso à página do Painel de Configuração para minimizar o risco de usuários internos explorarem essa vulnerabilidade. Certifique-se de que todos os parâmetros criados dinamicamente, como Jsession-id, CSRF token e Nxsrf token, sejam devidamente validados e protegidos.