PT-2024-8938 · Verapdf · Verapdf
Carlwilson
·
Publicado
2024-11-03
·
Atualizado
2024-12-02
·
CVE-2024-52800
CVSS v4.0
2.3
Baixa
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas:
veraPDF (versões afetadas não especificadas)
Descrição:
O problema está relacionado à execução de verificações de políticas usando arquivos Schematron personalizados por meio da CLI, o que invoca uma transformação XSL que, teoricamente, pode levar a uma vulnerabilidade de execução remota de código (RCE). Essa vulnerabilidade também está associada à restrição incorreta de links XML para objetos externos na função
mergeEnabledFeaturesFromPolicy(). A exploração dessa vulnerabilidade pode permitir que um invasor remoto realize ataques XXE. A maioria dos usuários não é afetada, pois não insere código XSLT personalizado nos perfis de política.Recomendações:
Para usuários que inserem código XSLT personalizado nos perfis de política, carregue apenas arquivos de política personalizados de fontes confiáveis.
Como solução alternativa temporária, considere restringir o uso de arquivos Schematron personalizados até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Verapdf