CVE-2023-49110

Kiuwan SAST versão master.1808.p685.q13371

O problema ocorre quando o Kiuwan Local Analyzer envia resultados de varredura para o aplicativo web Kiuwan SAST, que processa arquivos XML contendo entidades externas. Isso leva a um ataque de injeção de entidade externa XML. Um invasor com privilégios para varrer código-fonte pode extrair arquivos do sistema operacional com os direitos do usuário do servidor de aplicativos, potencialmente obtendo acesso a arquivos confidenciais, como configurações e senhas. O invasor também pode iniciar conexões com sistemas internos para varreduras de porta ou acessar outras funções e aplicativos internos.

Para a versão master.1808.p685.q13371, considere desativar o recurso de resolução de entidades XML no aplicativo web Kiuwan SAST até que um patch esteja disponível. Restrinja o acesso ao módulo “Code Security” para minimizar o risco de exploração. Evite usar o Kiuwan Local Analyzer para enviar resultados de varredura para o aplicativo web Kiuwan SAST até que o problema seja resolvido.