PT-2024-13215 · Fonttools+3 · Fonttools+3
Acornall
·
Publicado
2024-01-09
·
Atualizado
2025-12-09
·
CVE-2023-45139
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
fontTools, versões 4.28.2 a 4.42.1
Descrição
O módulo de subconjuntos do fontTools apresenta uma vulnerabilidade de injeção de entidade externa XML (XXE), permitindo que um invasor resolva entidades arbitrárias quando uma fonte candidata (fontes OT-SVG) contendo uma tabela SVG é analisada. Isso permite que invasores incluam arquivos arbitrários do sistema de arquivos no qual o fontTools está sendo executado ou façam solicitações da Web a partir do sistema host.
Recomendações
Para as versões 4.28.2 a 4.42.1 do fontTools, atualize para a versão 4.43.0 para corrigir a vulnerabilidade.
Como solução alternativa temporária, considere definir o sinalizador
resolve entities=False nos métodos de análise para mitigar o problema.Restrinja o acesso a fontes OT-SVG não confiáveis para minimizar o risco de exploração.
Considere proibir declarações de tipo de documento e implementar correspondência recursiva de expressões regulares como medidas de mitigação adicionais.
Exploit
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Linuxmint
Ubuntu
Fonttools