PT-2024-25802 · Unknown · Cyclonedx Javascript Library
Jkowalleck
·
Publicado
2024-05-08
·
Atualizado
2024-05-18
·
CVE-2024-34345
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Biblioteca JavaScript CycloneDX versão 6.7.0
Descrição
A biblioteca JavaScript CycloneDX está vulnerável a injeções de Entidade Externa XML (XXE) ao executar o validador XML fornecido em entradas arbitrárias. Este problema foi corrigido na versão 6.7.1. Para explorar essa vulnerabilidade, um invasor poderia criar uma entrada XML maliciosa que inclua uma entidade externa, levando potencialmente a um comportamento indesejado. Por exemplo, um invasor poderia usar a função
XmlValidator para validar uma entrada falsificada, como a mostrada no código de prova de conceito, que inclui uma injeção de entidade externa XML. A função validator.validate(input) processaria então essa entrada, potencialmente levando em conta a entidade externa.Recomendações
Para a versão 6.7.0, atualize para a versão 6.7.1 para corrigir o problema.
Como solução alternativa temporária, não execute o validador XML fornecido em entradas não confiáveis.
Exploit
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cyclonedx Javascript Library