CVE-2024-55875

Versões do http4k anteriores à 5.41.0.0

O problema está relacionado a uma vulnerabilidade XXE (XML External Entity Injection) quando o http4k processa conteúdos XML maliciosos nas solicitações. Isso poderia permitir que invasores lessem informações confidenciais locais no servidor, desencadeassem Server-side Request Forgery e, em algumas circunstâncias, até mesmo executassem código.

Para resolver o problema, atualize para a versão 5.41.0.0 ou posterior, pois essa versão contém um patch para o problema.

Como solução temporária, considere desativar o recurso de análise de XML no http4k até que um patch seja aplicado.

Restrinja o acesso ao módulo de processamento de XML para minimizar o risco de exploração.

Evite usar a função xmlLens no endpoint da API afetado até que o problema seja resolvido.