PT-2024-19376 · Ministry Of Agriculture · Electronic Delivery Check System
Iwakawa Kento
+1
·
Publicado
2024-01-23
·
Atualizado
2025-06-05
·
CVE-2024-22380
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Sistema de Verificação de Entrega Eletrônica (Ministério da Agricultura, Florestas e Pesca – Versão do Projeto de Desenvolvimento Agrícola e Rural) versões 14.0.001.002 e anteriores
Descrição
O problema está relacionado à restrição inadequada de referências a entidades externas XML (XXE) no Sistema de Verificação de Entrega Eletrônica. Isso permite que um invasor leia arquivos arbitrários no sistema ao processar um arquivo XML especialmente criado.
Recomendações
Para as versões 14.0.001.002 e anteriores, considere desativar a funcionalidade de processamento de XML até que uma correção esteja disponível para impedir a exploração do problema de XXE. Restrinja o acesso a arquivos e diretórios confidenciais para minimizar o risco de leitura arbitrária de arquivos.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Electronic Delivery Check System