CVE-2023-4554

OpenText AppBuilder, versões 21.2 a 23.2

O problema está relacionado a uma vulnerabilidade de restrição inadequada de referência a entidade externa XML no OpenText AppBuilder, permitindo a falsificação de solicitação do lado do servidor (SSRF) e possibilitando que um invasor examine arquivos do sistema. Isso ocorre porque o processador XML do AppBuilder é vulnerável ao processamento de entidade externa XML (XXE), o que permite que um usuário autenticado envie arquivos XML especialmente criados. Esses arquivos podem induzir a falsificação de solicitação do lado do servidor e divulgar arquivos locais do servidor que os processa.

Para as versões 21.2 a 23.2 do OpenText AppBuilder, atualize para a versão 23.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o upload de arquivos XML ou desativar o processador XML até que um patch esteja disponível. Restrinja o acesso a arquivos sensíveis do sistema para minimizar o risco de exploração. Evite usar o processador XML vulnerável nas versões afetadas do AppBuilder até que o problema seja resolvido.