PT-2024-1816 · Apache+1 · Apache Xerces-C+1
Arnout Engelen
·
Publicado
2024-02-16
·
Atualizado
2025-03-06
·
CVE-2024-23807
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Analisador XML Apache Xerces C++, versões 3.0.0 a 3.2.5
Descrição
O problema está relacionado a um erro de uso após liberação (use-after-free) acionado durante a verificação de DTDs externos. Isso pode permitir que um invasor remoto execute código arbitrário. Os usuários podem mitigar o problema desativando o processamento de DTD, o que pode ser feito via DOM usando um recurso padrão do analisador, ou via SAX usando a variável de ambiente
XERCES DISABLE DTD.Recomendações
Para resolver o problema, atualize para a versão 3.2.5, que corrige a falha.
Como solução alternativa temporária, considere desativar o processamento de DTDs via DOM usando um recurso padrão do analisador, ou via SAX usando a variável de ambiente
XERCES DISABLE DTD.Exploit
Correção
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Apache Xerces-C