Vulnerabilidades CVE de Apoc de Neo4j
16 de febrero del 2023
APOC (Awesome Procedures on Cypher) es una biblioteca complementaria para Neo4j
- CVE-2023-23926 : Una vulnerabilidad de XML External Entity (XXE) encontrada en el procedimiento apoc.import.graphml del complemento principal de APOC anterior a la versión 5.5.0 en la base de datos de gráficos Neo4j. La inyección de XML External Entity (XXE) ocurre cuando el analizador XML permite que se resuelvan las entidades externas.
- El analizador XML utilizado por el procedimiento apoc.import.graphml no estaba configurado de forma segura y, por lo tanto, lo permitía. Las entidades externas se pueden usar para leer archivos locales, enviar solicitudes HTTP y realizar ataques de denegación de servicio en la aplicación. El abuso de la vulnerabilidad XXE permitió a los asesores leer archivos locales de forma remota. Aunque con el nivel de privilegios que tenían los evaluadores, esto se limitaba a archivos de una línea. Con la capacidad de escribir en la base de datos, se podría haber leído cualquier archivo. Además, los evaluadores señalaron, con las pruebas locales, el servidor podría bloquearse al pasar un XML con formato incorrecto. La versión mínima que contiene un parche para esta vulnerabilidad es la 5.5.0. Quienes no puedan actualizar la biblioteca pueden controlar la lista de permitidos de los procedimientos que se pueden usar en su sistema.
Sitios de referencia
- CVE-2023-23926
https://neo4j.com/docs/operations-manual/current/reference/configuration-settings/#config_dbms.security.procedures.allowlist
Otras paginas de vulnerabilidades CVE
- Niterforum
- wndr3700v2
- Virtualsquare Picotcp
- Baijiacms
- Nitinparashar30 cms corephp
- Seo Panel
- Dataease
- Ampere altramax y ampere altra
- Gmalloc
- RSA ClientKeyExchange
- XBC DN32U
- Jenkins junit plugin
- Jenkins email extension plugin
- Jenkins azure credentials plugin
- Phpcrazy
- Kiwi
- Ami Megarac SPX
- Starlite
- Microsoft exchange server 2019 cumulative update 12
- Microsoft exchange server 2016 cumulative update 23
- Microsoft sharepoint enterprise server 2016
- Microsoft SQL Server
- Microsoft Onenote
- Microsoft net framework 4.8
- Azure Stack
- Suse linux enterprise server 12
- Apache Shenyu
- Flatcore CMS
- Ricoh mp c4504ex
- Unmanaged switch 852 111000 001
- Sequelize.js
- Containerd
- Qaelum Dose
- NSRW
- PHP
- Server application monitor sam
- Priority for windows
- Priority web
- Libpeconv
- DVR
- Media control panel
- Solarwinds platform
- Synopsys jenkins coverity plugin
- Prosafe 24 port 10100 fs726tp
- Butterfly button plugin
- Asus ec tool
- Discuzx
- Screencheck badgemaker
- Kardex mlog mcc
- kevinpapst kimai2
- Kliqqi cms
- Uqcms
- Rttys
- Ehoney
¿Quieres encontrar más vulnerabilidades?.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-02-19. Fecha publicación el 2023-02-19. Autor: Oscar olg Mapa del sitio Fuente: cve report