CVE-2024-25129

Versões do CodeQL CLI anteriores à 2.16.3

O CodeQL CLI está vulnerável a um ataque de Entidade Externa XML devido a um analisador XML usado para ler arquivos auxiliares. Essa vulnerabilidade pode ser explorada ao processar bancos de dados CodeQL modificados de forma maliciosa ou fontes de consulta QL especialmente preparadas, podendo levar à perda de privacidade ou ao vazamento de segredos. Pesquisadores de segurança e autores de QL que recebem bancos de dados ou arquivos fonte QL de fontes não confiáveis podem ser afetados. Aqueles que utilizam o CodeQL para análise de rotina de árvores de código-fonte com um conjunto pré-selecionado de consultas confiáveis não são afetados.

Para versões anteriores à 2.16.3, atualize para a versão 2.16.3 do CodeQL CLI para corrigir o problema.

Como solução alternativa temporária, considere não aceitar bancos de dados ou consultas do CodeQL provenientes de fontes não confiáveis.

Como alternativa, processe esse material apenas em uma máquina sem conexão com a Internet.

Para clientes que utilizam versões mais antigas do CodeQL para varredura de segurança em um sistema de CI automatizado e não podem atualizar por motivos de conformidade, continuem usando essa versão, mas certifiquem-se de que o comando codeql pack create seja executado utilizando a versão de produção do CodeQL com código-fonte QL confiável.