Nome do software vulnerável e versões afetadas:

PHP (versões afetadas não especificadas)

Descrição:

O problema diz respeito a componentes que utilizam as funcionalidades DOMDocument, SimpleXML e xml parse do PHP, os quais estão vulneráveis a dois tipos de ataques: ataques de injeção de entidade externa XML (XXE) e vetores de expansão de entidade XML (XEE). Ataques de injeção XXE podem ser executados adicionando-se um elemento DOCTYPE específico a documentos e strings XML, permitindo que entidades externas sejam especificadas, o que pode forçar um aplicativo a abrir arquivos arbitrários e/ou conexões TCP. Vetores XEE podem levar a explorações de negação de serviço (DoS) ao incluir definições de entidades XML com referências recursivas ou circulares na declaração DOCTYPE do XML, resultando em consumo de CPU e memória.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.