PHP (versões afetadas não especificadas)

O problema diz respeito a vários componentes que utilizam as funcionalidades DOMDocument, SimpleXML e xml parse do PHP. Esses componentes estão vulneráveis a dois tipos de ataques: ataques de injeção de entidade externa XML (XXE) e vetores de expansão de entidade XML (XEE). Ataques de injeção XXE podem ser executados adicionando-se um elemento DOCTYPE específico a documentos e strings XML, permitindo que entidades externas sejam especificadas. Isso pode forçar um aplicativo a abrir arquivos arbitrários e/ou estabelecer conexões TCP. Vetores XEE podem levar a explorações de negação de serviço, ocorrendo quando a declaração DOCTYPE do XML inclui definições de entidades XML com referências recursivas ou circulares, resultando em consumo de CPU e memória.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.