Apoc de Neo4j. Vulnerabilidad encontrada

Vulnerabilidades CVE de Apoc de Neo4j

APOC (Awesome Procedures on Cypher) es una biblioteca complementaria para Neo4j

CVE-2023-23926 : Una vulnerabilidad de XML External Entity (XXE) encontrada en el procedimiento apoc.import.graphml del complemento principal de APOC anterior a la versión 5.5.0 en la base de datos de gráficos Neo4j. La inyección de XML External Entity (XXE) ocurre cuando el analizador XML permite que se resuelvan las entidades externas.
El analizador XML utilizado por el procedimiento apoc.import.graphml no estaba configurado de forma segura y, por lo tanto, lo permitía. Las entidades externas se pueden usar para leer archivos locales, enviar solicitudes HTTP y realizar ataques de denegación de servicio en la aplicación. El abuso de la vulnerabilidad XXE permitió a los asesores leer archivos locales de forma remota. Aunque con el nivel de privilegios que tenían los evaluadores, esto se limitaba a archivos de una línea. Con la capacidad de escribir en la base de datos, se podría haber leído cualquier archivo. Además, los evaluadores señalaron, con las pruebas locales, el servidor podría bloquearse al pasar un XML con formato incorrecto. La versión mínima que contiene un parche para esta vulnerabilidad es la 5.5.0. Quienes no puedan actualizar la biblioteca pueden controlar la lista de permitidos de los procedimientos que se pueden usar en su sistema.

CVE-2023-23926 https://neo4j.com/docs/operations-manual/current/reference/configuration-settings/#config_dbms.security.procedures.allowlist

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-02-19. Fecha publicación el 2023-02-19. Autor: Oscar olg Mapa del sitio Fuente: cve report