CVE-2024-38374

Versões do cyclonedx-core-java anteriores à 9.0.4

O módulo principal do CycloneDX fornece uma representação de modelo de SBOMs e utilitários para criá-las, validá-las e analisá-las. Antes de deserializar a Lista de Materiais (BOM) do CycloneDX no formato XML, o cyclonedx-core-java usa expressões XPath para determinar a versão do esquema. O DocumentBuilderFactory usado para avaliar essas expressões XPath não estava configurado de forma segura, levando a um potencial problema de injeção de Entidade Externa XML (XXE). A injeção de XXE pode ser explorada para extrair o conteúdo de arquivos locais ou realizar uma falsificação de solicitação do lado do servidor (SSRF) para acessar a infraestrutura adjacente. A Prova de Conceito (PoC) fornecida demonstra a possibilidade de um erro de conexão ao tentar acessar um arquivo inexistente por meio de um documento XML malicioso.

Atualize o cyclonedx-core-java para a versão 9.0.4 ou posterior.