PT-2024-27514 · Lxml · Lxml

Peri0D

·

Publicado

2024-06-07

·

Atualizado

2024-10-30

·

CVE-2024-37388

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do lxml anteriores à 4.9.1
Descrição
Uma vulnerabilidade de Entidade Externa XML (XXE) na função ebookmeta.get metadata permite que invasores acessem informações confidenciais ou provoquem uma negação de serviço (DoS) por meio de entradas XML maliciosas.
Recomendações
Para versões anteriores à 4.9.1, atualize para a versão 4.9.1 ou posterior para resolver o problema.
Como solução temporária, considere desativar a função ebookmeta.get metadata até que um patch esteja disponível.

Correção

XML Entity Expansion

XXE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-776CWE-611

Identificadores relacionados

CVE-2024-37388
GHSA-HX54-PF28-7XCH
OESA-2024-1749
OESA-2024-1750
OESA-2024-1751

Produtos afetados

Lxml