PT-2024-1830 · Xml::Twig+3 · Xml::Twig+3
An Pham
·
Publicado
2024-01-17
·
Atualizado
2024-06-15
·
CVE-2024-23525
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Spreadsheet::ParseXLSX anteriores à 0.30
Descrição
O problema está relacionado à restrição incorreta de links XML para objetos externos, permitindo que um invasor realize ataques XXE usando um arquivo XLSX especialmente criado. Isso ocorre porque o pacote Spreadsheet::ParseXLSX não utiliza a opção
no xxe do XML::Twig.Recomendações
Para versões anteriores à 0.30, atualize para a versão 0.30 ou posterior para resolver o problema. Como solução temporária, considere habilitar a opção
no xxe do XML::Twig para prevenir ataques XXE.Exploit
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linuxmint
Spreadsheet::Parsexlsx
Ubuntu
Xml::Twig