Los analizadores XML utilizados por XMLBeans hasta la versión 2.6.0 no establecían las propiedades necesarias para proteger al usuario de entradas XML maliciosas.
Las vulnerabilidades incluyen posibilidades de ataques de expansión de entidades XML. Afecta a XMLBeans hasta la v2.6.0 inclusive.
El analizar archivos XML con XMLBeans 2.6.0 o una versión inferior, el analizador subyacente creado por XMLBeans podría ser susceptible a ataques de entidad externa XML (XXE).
Este problema se solucionó hace unos años, pero al revisarlo, decidimos que deberíamos tener un CVE para crear conciencia sobre el problema.
Mitigación: Se recomienda a los usuarios afectados que actualicen a Apache XMLBeans 3.0.0 o superior, que corrige esta vulnerabilidad. Es preferible XMLBeans 4.0.0 o superior.
Este ataque ocurre cuando una entrada XML no confiable que contiene una referencia a una entidad externa es procesada por un analizador XML configurado débilmente.
Este ataque puede llevar a la divulgación de datos confidenciales, denegación de servicio, falsificación de solicitudes del lado del servidor (SSRF), escaneo de puertos desde la perspectiva de la máquina donde se encuentra el analizador y otros impactos del sistema. La siguiente guía proporciona información concisa para prevenir esta vulnerabilidad.
Referencias:
https://issues.apache.org/jira/browse/XMLBEANS-517
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
