CVE-2026-42212

Nome do Software Vulnerável e Versões Afetadas SolidCAM-GPPL-IDE versões 1.0.0 a 1.0.1

Descrição A abertura de um arquivo .gpp faz com que o servidor de linguagem analise um arquivo .vmid companheiro no mesmo diretório. O analisador de VMID utiliza XDocument.Load(path) sem XmlReaderSettings, o que no .NET 8 permite o processamento de Definições de Tipo de Documento (DTD). Isso possibilita a injeção de Entidades Externas de XML (XXE)—uma técnica onde uma aplicação processa entidades externas dentro de um documento XML—permitindo que um arquivo .vmid malicioso exponha arquivos locais via referências de entidades externas, esgote a memória através de expansão recursiva de entidades ou cause a negação de serviço via XML excessivamente grande ou profundamente aninhado.

Recomendações Atualizar para a versão 1.0.2.